Home » Spyware & Browser Hijacker Support Forum » Hijack + Virenmeldungen + seltsame Windows Viren Meldung » Themenansicht

Hijack + Virenmeldungen + seltsame Windows Viren Meldung
#0
25.03.2005, 18:44
Raumland
...neu hier

Beiträge: 3
#1 Hallo,

also mir wurde in einem anderen Forum geraten hier einmal mit meinem Problem zu kommen. Hoffe hier kann mir einer Helfen.

1. AntiVir schlägt alle stunde Alarm mit 2 Meldungen nacheinander.
In der ersten Meldung steht:
G:\WINDOWS\39.exe ist das Trojanische Pferd TR\Drop32.Smal.UE.3
und in der zweiten Meldung steht:
G:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\G507WN87\X[1].exe ist das Trojanische Pferd TR\Drop32.Smal.UE.3

2. Windows fehler Fenster:
Error #317 - Microsoft Windows Security Warning:
Your Windows is corrupted with spyware virus.
You must patch your PC urgently to protect your system.
Private info is accessed by ports:

-8080
-3128

You can patch your PC for free now and delete all spyware viruses.

Click OK to choose and download free spyware removal using AntiSPY.

<OK> <Abbrechen>

3. Mein IE hat als neue Startseite hxxp://www.hotoffers.info/250/ ändern kann ich es nicht. Diese Seite öffnet sich auch ab und zu einfach so mal ohne das ich was gedrückt habe.

Bin am verzweifeln hab schon so vieles probiert bekomme es aber einfach nicht weg. Bitte helft mir bevor ich mein PC aus dem Fenster werfen muss!

Danke im Vorraus
Seitenanfang Seitenende
25.03.2005, 20:51
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@Raumland

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

Gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

G:\WINDOWS\39.exe <--loeschen

G:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\G507WN87\<--loeschen

und mache einen Komplettscann mit Antivirus (keine Quarantaene--> alles loeschen lassen)

Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen

[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten

---------------------

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.03.2005, 14:19
Raumland
...neu hier

Themenstarter

Beiträge: 3
#3 AntiVir (auf dem neusten Stand) hat bei mir 8 Viren gefunden 7 hat es sofort gelöscht den 8ten beim neustart.

mwav.txt:
Sat Mar 26 02:39:12 2005 => File G:\WINDOWS\System32\systr.dll infected by "Trojan-Downloader.Win32.Agent.ko" Virus. Action Taken: No Action Taken.
Sat Mar 26 02:39:15 2005 => File G:\WINDOWS\System32\offfhelp.dll infected by "Virus.Win32.Bayan-based" Virus. Action Taken: No Action Taken.
Sat Mar 26 02:39:16 2005 => File G:\WINDOWS\System32\systr.dll infected by "Trojan-Downloader.Win32.Agent.ko" Virus. Action Taken: No Action Taken.
Sat Mar 26 02:40:05 2005 => File G:\WINDOWS\System32\autoiadv.dll infected by "Virus.Win32.Bayan-based" Virus. Action Taken: No Action Taken.
Sat Mar 26 02:40:18 2005 => File G:\WINDOWS\System32\dmimc009.dll infected by "Virus.Win32.Bayan-based" Virus. Action Taken: No Action Taken.
Sat Mar 26 02:40:27 2005 => File G:\WINDOWS\System32\guninst.exe infected by "not-a-virus:AdWare.Serpo.g" Virus. Action Taken: No Action Taken.
Sat Mar 26 02:41:20 2005 => File G:\WINDOWS\System32\spoolsrv32.exe infected by "Trojan.Win32.TopAntiSpyware.h" Virus. Action Taken: No Action Taken.
Sat Mar 26 02:41:21 2005 => File G:\WINDOWS\System32\srpcsrv32.dll infected by "Trojan.Win32.TopAntiSpyware.h" Virus. Action Taken: No Action Taken.
Sat Mar 26 02:41:29 2005 => File G:\WINDOWS\System32\txfdb32.dll infected by "Trojan.Win32.TopAntiSpyware.h" Virus. Action Taken: No Action Taken.
Sat Mar 26 03:06:26 2005 => File G:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Opera\Opera7\profile\global.dat infected by "Trojan-Downloader.JS.gen" Virus. Action Taken: No Action Taken.
Sat Mar 26 03:06:41 2005 => File G:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\Counter.class-1209b91d-6bb20a28.class infected by "Trojan.Java.ClassLoader.ab" Virus. Action Taken: No Action Taken.
Sat Mar 26 03:34:25 2005 => Scanning Folder: G:\Programme\AVPersonal\INFECTED\*.*
Sat Mar 26 04:14:55 2005 => File G:\System Volume Information\_restore{7FB44BBE-D4E7-4DF1-B1CA-46E0D5B90188}\RP146\A0222677.dll infected by "Trojan-Proxy.Win32.Small.bk" Virus. Action Taken: No Action Taken.

Sat Mar 26 04:39:00 2005 => ***** Scanning complete. *****

Sat Mar 26 04:39:00 2005 => Total Files Scanned: 131305
Sat Mar 26 04:39:00 2005 => Total Virus(es) Found: 35
Sat Mar 26 04:39:00 2005 => Total Disinfected Files: 0
Sat Mar 26 04:39:00 2005 => Total Files Renamed: 0
Sat Mar 26 04:39:00 2005 => Total Deleted Files: 0
Sat Mar 26 04:39:00 2005 => Total Errors: 69
Sat Mar 26 04:39:00 2005 => Time Elapsed: 02:00:04
Sat Mar 26 04:39:00 2005 => Virus Database Date: 2005/03/24
Sat Mar 26 04:39:00 2005 => Virus Database Count: 123152

Sat Mar 26 04:39:00 2005 => Scan Completed.


Logfile of HijackThis v1.99.1
Scan saved at 14:19:14, on 26.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\Programme\Ahead\InCD\InCDsrv.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\Explorer.EXE
G:\Programme\AVPersonal\AVWUPSRV.EXE
G:\WINDOWS\system32\crypserv.exe
G:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
G:\WINDOWS\System32\nvsvc32.exe
G:\WINDOWS\System32\sstray.exe
G:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
G:\Programme\Logitech\iTouch\iTouch.exe
G:\programme\powerstrip\pstrip.exe
G:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
G:\Programme\Ahead\InCD\InCD.exe
G:\Programme\Spybot - Search & Destroy\TeaTimer.exe
G:\WINDOWS\system32\NOTEPAD.EXE
G:\WINDOWS\system32\ZoneLabs\vsmon.exe
G:\Programme\Mozilla Firefox\firefox.exe
G:\WINDOWS\system32\NOTEPAD.EXE
G:\Dokumente und Einstellungen\Administrator\Desktop\Security\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/250/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [EM_EXEC] G:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] G:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PowerStrip] g:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [QuickTime Task] "G:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [Zone Labs Client] G:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] G:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [VOBRegCheck] G:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [TrojanScanner] G:\Programme\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] G:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - G:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,81/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093478652750
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,19/mcgdmgr.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O21 - SSODL: NTDBGTOOL - {8C2E9B64-DF55-4E3D-8C9E-CF9B5E2B5508} - G:\WINDOWS\System32\offfhelp.dll
O23 - Service: Adobe LM Service - Unknown owner - G:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - G:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - G:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Crypkey License - Kenonic Controls Ltd. - G:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - G:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - G:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - G:\WINDOWS\system32\ZoneLabs\vsmon.exe


Danke
Seitenanfang Seitenende
26.03.2005, 18:15
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@Raumland

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.org/

G:\WINDOWS\System32\mmrtkrnl.exe

Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

--------------------------------------------------------------------------------------------------------------------
G:\WINDOWS\39.exe
G:\Program Files\TopAntiSpyware
G:\WINDOWS\desktop.html
G:\WINDOWS\Web\desktop.html
G:\WINDOWS\SSICO.ICO
G:\r.exe
G:\WINDOWS\System32\systr.dll
G:\WINDOWS\System32\offfhelp.dll
G:\WINDOWS\System32\autoiadv.dll
G:\WINDOWS\System32\dmimc009.dll
G:\WINDOWS\System32\guninst.exe
G:\WINDOWS\System32\spoolsrv32.exe
G:\WINDOWS\System32\srpcsrv32.dll
G:\WINDOWS\System32\txfdb32.dll
G:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Opera\Opera7\profile\global.dat
G:\System Volume Information\_restore{7FB44BBE-D4E7-4DF1-B1CA-46E0D5B90188}\RP146\A0222677.dll

PC neustarten

G:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Opera\Opera7\profile\global.dat<--ueberpruefe, ob das weg ist ;)

Der Trojaner versucht, Dateien von einem remoten Speicherort herunterzuladen und zu starten. Die Dateinamen der von dem Trojaner benutzten Komponenten sind runsvc32.exe, spoolsrv32.exe und srpcsrv32.dll. Die heruntergeladenen Dateien werden in C:\r.exe gespeichert.

falls du es findest:
•G:\Program Files\TopAntiSpyware
•G:\WINDOWS\desktop.html
•G:\WINDOWS\Web\desktop.html
•G:\r.exe

so kann man C:\WINDOWS\Web\desktop.html loeschen
Geht auf Start -> Einstellungen -> Systemsteuerung und klickt dort auf "Anzeige" Darin gibt es ein Register "Desktop" und die Möglichkeit "Desktop anpassen". Darin wiederum klickt ihr auf das Register "Web" und entfernt dort "Security" in der Liste

•G:\WINDOWS\Web\desktop.html
•G:\WINDOWS\SSICO.ICO
•G:\Dokumente und Einstellungen\User\\Desktop\! Protect Your Data.url
•G:\Dokumente und Einstellungen\User\\Favorites\! Smart Security.url
•G:\Dokumente und Einstellungen\User\\Recent\! Smart Security.url
•G:\Dokumente und Einstellungen\User\\Start Menu\! Secure Yourself.url

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

#TuneUp2004 (30 Tage free)
http://www.tuneup.de/products/tuneup-utilities/
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner

Onlinescanns --> dann "infected"alles loeschen/im abgesicherten Modus
http://security.symantec.com/default.asp?
http://housecall.trendmicro.com/
http://www.pandasoftware.com/activescan/

--
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.03.2005, 17:27
Raumland
...neu hier

Themenstarter

Beiträge: 3
#5 Ich glaube alle Viren sind weg. ;)
housecall läuft gerade noch ....

File: MMRTKRNL.EXE
Status:
MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.)
Packers detected:
-

AntiVir
No viruses found
Avast
No viruses found
AVG Antivirus
No viruses found
BitDefender
No viruses found
ClamAV
No viruses found
Dr.Web
No viruses found
F-Prot Antivirus
No viruses found
Fortinet
No viruses found
Kaspersky Anti-Virus
No viruses found
mks_vir
No viruses found
NOD32
No viruses found
Norman Virus Control
No viruses found

Danke Danke Danke
Seitenanfang Seitenende
14.04.2005, 10:13
Juna
...neu hier

Beiträge: 9
#6

Zitat

Raumland postete

1. AntiVir schlägt alle stunde Alarm mit 2 Meldungen nacheinander.
In der ersten Meldung steht:
G:\WINDOWS\39.exe ist das Trojanische Pferd TR\Drop32.Smal.UE.3
und in der zweiten Meldung steht:
G:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\G507WN87\X[1].exe ist das Trojanische Pferd TR\Drop32.Smal.UE.3

(bei mir wars irgendwas mit 180solutions) ok habs gefunden:
Windows\MNGV.EXE.TMP
DR/180Solutions

2. Windows fehler Fenster:
Error #317 - Microsoft Windows Security Warning:
Your Windows is corrupted with spyware virus.
You must patch your PC urgently to protect your system.
Private info is accessed by ports:

-8080
-3128

You can patch your PC for free now and delete all spyware viruses.

Click OK to choose and download free spyware removal using AntiSPY.

<OK> <Abbrechen>

3. Mein IE hat als neue Startseite hxxp://www.hotoffers.info/250/ ändern kann ich es nicht. Diese Seite öffnet sich auch ab und zu einfach so mal ohne das ich was gedrückt habe.



Hallo!
also bei mir gibts genau dasselbe problem! ich kann noch nicht einmal meinen beitrag hier fertig schreiben ohne unterbrochen zu werden!!!!
ich muss zugeben dass ich nicht soviel ahnung von computern habe! zumindestens bin ich schon bis zum kavupd gekommen und habe alles runtergeladen. dann hatte ich den abgesicherten Modus, doch wie komm ich auf den link?! brauch ich den überhaupt schließlich ist es bei mir ein anderer virustyp? Im abg. Modus krieg ich keine internetverbindung zustande...
gruß Juna

PS: vielen dank im voraus....!
Dieser Beitrag wurde am 14.04.2005 um 11:09 Uhr von Juna editiert.
Seitenanfang Seitenende
14.04.2005, 12:11
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Hallo@Juna

Im abgesicherten Modus musst du auf keinen Link gehen, sondern einfach nur mit escan scannen und dann laut Anweisung alles rauskopieren, was infiziert ist.

G:\WINDOWS\39.exe<--loeschen

G:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\G507WN87\X[1].exe<--loeschen


HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.04.2005, 21:55
Juna
...neu hier

Beiträge: 9
#8 Hi Sabina
ok ich hab den escan grad vorhin beendet! 26virenmeldungen! anti-virscan habe ich auch durchgeführt, 3 DIAL/Generics wurden gelöscht, sonst hat antivir nix mehr entdeckt...! ich weiß nicht genau was du mit G:\WINDOWS\39exe und dem anderen gemeint hast, aber das laufwerk G gibts auf meinem laptop nicht! ich hab überall gesucht und nix entdeckt was dem ähnlich sein könnte! den scan hab ich jedoch gemacht und dann, keine ahnung wie, hab ich den hijackthiseditor geöffnet, mit diesem ergebnis:

Logfile of HijackThis v1.99.1
Scan saved at 21:45:03, on 13.04.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2PLAB.EXE
C:\WINDOWS\SYSTEM\SA3DSRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAAB.EXE
C:\WINDOWS\SYSTEM\ATI2CWXX.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPLPR.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPENH.EXE
C:\PROGRAMME\COMPAQ\EASY ACCESS BUTTON SUPPORT\CPQEADM.EXE
C:\COMPAQ\INTERNET\CISRVR.EXE
C:\CPQS\BWTOOLS\SCCENTER.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\ICQLITE\ICQLITE.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMME\COMPAQ\EASY ACCESS BUTTON SUPPORT\BTTNSERV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\COMPAQ\EASY ACCESS BUTTON SUPPORT\EAUSBKBD.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\PROGRAMME\COMPAQ\ON-SCREEN DISPLAY\OSD.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER2.3\SMARTSURFER.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\WINRAR\WINRAR.EXE
C:\WINDOWS\TEMP\RAR$EX00.683\HIJACKTHIS.EXE
C:\WINDOWS\MSAGENT\AGENTSVR.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=0407&s=search&i=deu
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/185/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=0407&s=search&i=deu
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=0407&s=search&i=deu
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&s=search&query=%s&i=enu
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://desktop.presario.net/scripts/redirectors/presario/deskredir.dll?c=1c00&lc=0407&s=consumer&ap=b201
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN TOOLBAR\01.01.1629.0\DE\MSNTB.DLL
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaab.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\Compaq\Easy Access Button Support\cpqeadm.exe
O4 - HKLM\..\Run: [EACLEAN] C:\Programme\Compaq\Easy Access Button Support\eaclean.exe
O4 - HKLM\..\Run: [Aureal A3D Interactive Audio Init] A3dInit.exe
O4 - HKLM\..\Run: [Compaq Internet Setup] C:\Compaq\Internet\InetWizard.exe /RUN
O4 - HKLM\..\Run: [CISrvr Program] C:\COMPAQ\INTERNET\CISRVR.EXE
O4 - HKLM\..\Run: [Service Connection] c:\cpqs\bwtools\sccenter.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2plab.exe
O4 - HKLM\..\RunServices: [Aureal A3D Interactive Audio] sa3dsrv.exe
O4 - HKCU\..\Run: [MsnMsgr] "c:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.sp2F***.biz
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.megapornix.com
O15 - Trusted Zone: *.awmdabest.com
O16 - DPF: Interface Chat Voila - http://chat10.x-echo.com/version5/Applet/vchatsign.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/286be158a22555397405/netzip/RdxIE601_de.cab


ich hoff mal des war richtig.....

gruß, Juna*
Seitenanfang Seitenende
14.04.2005, 23:52
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Hallo@Juna

einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html

A3dInit.exe


Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.org/de/

A3dInit.exe

Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten



#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=0407&s=search&i=deu
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/185/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=0407&s=search&i=deu
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=0407&s=search&i=deu
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&s=search&query=%s&i=enu
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://desktop.presario.net/scripts/redirectors/presario/deskredir.dll?c=1c00&lc=0407&s=consumer&ap=b201
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O4 - HKLM\..\Run: [Aureal A3D Interactive Audio Init] A3dInit.exe
O4 - HKLM\..\RunServices: [Aureal A3D Interactive Audio] sa3dsrv.exe
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.sp2F***.biz
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: *.megapornix.com
O15 - Trusted Zone: *.awmdabest.com
O16 - DPF: Interface Chat Voila - http://chat10.x-echo.com/version5/Applet/vchatsign.cab

neustarten

CWShredder
http://www.intermute.com/spysubtract/cwshredder_download.html
* Double-click on CWShredder.exe.
* Click "Fix ->" and click "OK" at the prompt.

scanne noch mal mit escan und kopiere alles raus, was infected ist.
+
silentrunners
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.04.2005, 14:51
Juna
...neu hier

Beiträge: 9
#10 Hi@sabina!
also ich hab zwei exedateien dieses typs gefunden...

This is a report processed by VirusTotal on 04/15/2005 at 14:48:08 (CET) after scanning the file "A3dInit.exe" file.

Antivirus Version Update Result
AntiVir 6.30.0.7 04.15.2005 no virus found
AVG 718 04.15.2005 no virus found
BitDefender 7.0 04.15.2005 no virus found
ClamAV devel-20050307 04.15.2005 no virus found
DrWeb 4.32b 04.15.2005 no virus found
eTrust-Iris 7.1.194.0 04.15.2005 no virus found
eTrust-Vet 11.7.0.0 04.15.2005 no virus found
Fortinet 2.51 04.15.2005 no virus found
F-Prot 3.16b 04.15.2005 no virus found
Ikarus 2.32 04.15.2005 no virus found
Kaspersky 4.0.2.24 04.15.2005 no virus found
McAfee 4469 04.14.2005 no virus found
NOD32v2 1.1063 04.15.2005 no virus found
Norman 5.70.10 04.14.2005 no virus found
Panda 8.02.00 04.15.2005 no virus found
Sybari 7.5.1314 04.15.2005 no virus found
Symantec 8.0 04.15.2005 no virus found
VBA32 3.10.3 04.14.2005 no virus found

Datei: A3dInit.exe
Status:
EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
mks_vir
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
VBA32
Keine Viren gefunden

soll ich den escan im abgs. modus machen?
gruß Juna
Dieser Beitrag wurde am 15.04.2005 um 15:05 Uhr von Juna editiert.
Seitenanfang Seitenende
15.04.2005, 15:29
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Hallo@Juna

Hast du eine:
(For Aureal based 3D soundcards.????????????)
Wenn ja--> nicht fixen--> wenn nein--> fixen

O4 - HKLM\..\Run: [Aureal A3D Interactive Audio Init] A3dInit.exe
O4 - HKLM\..\RunServices: [Aureal A3D Interactive Audio] sa3dsrv.exe

PC neustarten

suche bitte die zwei Datein (A3dInit.exe)--> rechtsklick-->Eigenschaften + Erstellungsdatum

suche auch die: sa3dsrv.exe--> rechtsklick-->Eigenschaften + Erstellungsdatum (For Aureal based 3D soundcards.????????????)

den Silentrunner-Scann mache im Normalmodus)
(den escan mache im abgesicherten Modus)-->kopiere dann alles infected raus)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.04.2005, 18:16
Juna
...neu hier

Beiträge: 9
#12 hi sabina!
ich glaub das ich des hab, ich habs jedoch gefixt! wie krieg ich heraus ob ichs wirklich habe?! bei systemsteuerung ist jedenfalls ein aurealA3D-for-compaq-symbol!!!

A3dInit.exe (1)
Erstellt;)onnerstag, 16. Dezember 1999 09:57:53
A3dInit.exe (2)
Donnerstag, 16. Dezember 1999 09:57:53
sa3dsrv.exe
Erstellt;)onnerstag, 16. Dezember 1999 09:57:52


noch was:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=0407&s=search&i=deu
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/185/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=0407&s=search&i=deu
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=0407&s=search&i=deu
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&s=search&query=%s&i=enu
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://desktop.presario.net/scripts/redirectors/presario/deskredir.dll?c=1c00&lc=0407&s=consumer&ap=b201

---->kann ich nicht löschen!!!! kommt immer wieder!!
außerdem, kann ich nicht den e-scan-inhalt kopieren weil sich der editor nicht öffnen lässt!

ich hab dir noch mal die hijackthiseditorergebnisse kopiert:

Logfile of HijackThis v1.99.1
Scan saved at 18:29:22, on 14.04.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2PLAB.EXE
C:\WINDOWS\SYSTEM\SA3DSRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAAB.EXE
C:\WINDOWS\SYSTEM\ATI2CWXX.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPLPR.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPENH.EXE
C:\PROGRAMME\COMPAQ\EASY ACCESS BUTTON SUPPORT\CPQEADM.EXE
C:\COMPAQ\INTERNET\CISRVR.EXE
C:\CPQS\BWTOOLS\SCCENTER.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMME\COMPAQ\EASY ACCESS BUTTON SUPPORT\BTTNSERV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\COMPAQ\EASY ACCESS BUTTON SUPPORT\EAUSBKBD.EXE
C:\PROGRAMME\COMPAQ\ON-SCREEN DISPLAY\OSD.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER2.3\SMARTSURFER.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\WINRAR\WINRAR.EXE
C:\WINDOWS\TEMP\RAR$EX08.827\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=0407&s=search&i=deu
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/185/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=0407&s=search&i=deu
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=0407&s=search&i=deu
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN TOOLBAR\01.01.1629.0\DE\MSNTB.DLL
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaab.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\Compaq\Easy Access Button Support\cpqeadm.exe
O4 - HKLM\..\Run: [EACLEAN] C:\Programme\Compaq\Easy Access Button Support\eaclean.exe
O4 - HKLM\..\Run: [Compaq Internet Setup] C:\Compaq\Internet\InetWizard.exe /RUN
O4 - HKLM\..\Run: [CISrvr Program] C:\COMPAQ\INTERNET\CISRVR.EXE
O4 - HKLM\..\Run: [Service Connection] c:\cpqs\bwtools\sccenter.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2plab.exe
O4 - HKLM\..\RunServices: [Aureal A3D Interactive Audio] sa3dsrv.exe
O4 - HKCU\..\Run: [MsnMsgr] "c:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/286be158a22555397405/netzip/RdxIE601_de.cab

Silent Runner:

"Silent Runners.vbs", revision 35, http://www.silentrunners.org/
Operating System: Windows 98
Output limited to non-default values, except where indicated by "{++}"


This script requires WMI, which can be downloaded at: http://tinyurl.com/jbxe

gruß juna
Dieser Beitrag wurde am 15.04.2005 um 23:32 Uhr von Juna editiert.
Seitenanfang Seitenende
16.04.2005, 17:49
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Hallo@Juna

Ja, wenn du mir nicht posten kannst, was der escan anzeigt.......das ist schlecht.....so weiss ich nicht, was zu loeschen ist.....

------------------------------------------------------------------------
Loeschen temporaere Dateien --> loesche die Dateien in den Ordnern, nicht die ordner selbst

C:\WINDOWS\Temp\
C:\Temp\
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 [loesche nicht die index.dat)

CCleaner--> loesche alle *temp-Datein
http://www.ccleaner.com/ccdownload.asp



•AboutBuster--> suche und poste das Scannlog
www.malwarebytes.biz/AboutBuster.zip

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann

CWShredder
http://www.intermute.com/spysubtract/cwshredder_download.html
* Double-click on CWShredder.exe.
* Click "Fix ->" and click "OK" at the prompt.
* CWShredder will scan and clean your system of CWS files.
* Click "Next->" and then "Exit".
Log-->"make Report"

•Search&Destroy
http://www.safer-networking.org/de/download/index.html
Spybot - Search && Destroy process list report,-->bitte abkopieren und posten

•Online-Scann (Panda)
http://www.pandasoftware.com/activescan/com/activescan_principal.htm
(berichte vom Scann)

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.04.2005, 18:50
Juna
...neu hier

Beiträge: 9
#14 also ich hab versucht ein paar raus zu schreiben, bin aber dann auf den falschen knopf gekommen, aber hier sind die wichtigsten von escan, viele kamen doppelt vor:
C:\WINDOWS\System32\systr.dll --->Trojan.downloader.Win32.Agent.ko
File Sytem found infected by IEHijacker.Hotoffers "Spyware/Adware" Virus
File C:\WINDOWS\preunist.EXE not a virus Tool.Win32.Reboot
C:\WINDOWS\msxmidi.exe -->Trojan.Downloader.Win32.Zdesnado.a
C:\WINDOWS\SYSTEM\comonbaby.exe --> Porn.Dialer.Win32.Salc "Virus
C:\WINDOWS\TEMPOR~1\CONTENT.IE5\CP830JGN\todlesif[1]
---> Trojan.Downloader.VBS.Psyme.q
C:\WINOWS\OPTIONS\CABS\OLS\AOL\AOL4ODE.EXE --> Tool.Win32.Reboot
C:\WINDOWS\SYSTEM\MSO\sysnew.exe --->Trojan.daownloader.Win32.Zdesnado.a
C:\WINDOWS\TemporaryInternetFiles\Content.IE5\CP830JGN\todlesif[1]
---> Trojan.Downloader.VBS.Psyme.q

ich denk das warn die wichtigsten
Seitenanfang Seitenende
16.04.2005, 19:12
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Hallo@Juna

????????????'' Windows\System32\ oder Windows\System\ ???

Zitat

C:\WINDOWS\System32\systr.dll --->Trojan.downloader.Win32.Agent.ko
File Sytem found infected by IEHijacker.Hotoffers "Spyware/Adware" Virus


•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System\systr.dll
C:\WINDOWS\System32\systr.dll
C:\WINDOWS\System\mt.exe
C:\WINDOWS\System\popup_bl.dll
C:\WINDOWS\System\serch_hook.dll
C:\WINDOWS\System\setup.exe
C:\WINDOWS\System\toolband_atl.dll
C:\WINDOWS\msxmidi.exe
C:\WINDOWS\SYSTEM\comonbaby.exe
C:\WINDOWS\SYSTEM\MSO\sysnew.exe

PC neustarten

C:\WINDOWS\TemporaryInternetFiles\Content.IE5\CP830JGN\todlesif[1]<--loeschen

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann

•Online-Scann (Panda)
http://www.pandasoftware.com/activescan/com/activescan_principal.htm
(berichte vom Scann)

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
+
poste das neue Log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123