_winSterHJK v. 2001 - WURM/Trojaner.. |
||
---|---|---|
#0
| ||
23.04.2005, 10:20
...neu hier
Beiträge: 5 |
||
|
||
23.04.2005, 16:14
Moderator
Beiträge: 7805 |
#2
Bitte poste ein Hijackthis log und ein uninstall log:
Fuer das uninstall.log bitte Hijackthis starten, dann auf "Open misc tools section"/Open uninstallmanager/Save list/ Diese Speichern und den Inhalt des Aufpoppenden Editors hier ebenfalls posten. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
23.04.2005, 22:25
...neu hier
Themenstarter Beiträge: 5 |
#3
Danke für die rasche Antwort!
Hjackthis log: Logfile of HijackThis v1.99.1 Scan saved at 09:15:23, on 23.04.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\Programme\Sygate\SPF\smc.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\WINNT\system32\CTsvcCDA.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\MsPMSPSv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\svhost.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe C:\Programme\Lexmark X74-X75\lxbbbmgr.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Lexmark X74-X75\lxbbbmon.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\agent.exe C:\WINNT\system32\CTHELPER.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Dokumente und Einstellungen\Ivan\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0271/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - C:\WINNT\System32\SEARCH~1.DLL F3 - REG:win.ini: run=C:\WINNT\system32\svhost.exe O1 - Hosts: 66.159.18.75 www.astalavista.com O1 - Hosts: 66.159.18.75 astalavista.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\system32\PSDrvCheck.exe O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O17 - HKLM\System\CCS\Services\Tcpip\..\{83D0575F-7A27-4C08-8C03-195364B8CA3E}: NameServer = 212.33.32.160,212.33.55.5 O19 - User stylesheet: (file missing) O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTsvcCDA.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe UNINSTALL log: ABBYY FineReader 5.0 Sprint AC3Filter (remove only) ACDSee Ad-Aware SE Personal Adobe Acrobat 5.0 Adobe Photoshop 7.0 AltoMP3 Maker 2.20 AnyDVD AT&T Labs' Natural Voices - Desktop 1.4 Redist AT&T Labs' Natural Voices - Klara 16k 1.4 (Desktop) ATI - Dienstprogramm zur Deinstallation der Software ATI Control Panel ATI Display Driver ATI HydraVision AVG Free Edition BSPlayer Canon IXY300A, PSS330, IXUS330 TWAIN Driver Canon PhotoRecord Canon Utilities ZoomBrowser EX Casino-Club Deutsch Cheating-Death 4.27.3 ClearProg 1.4.1 Final DivX Codec Dragon NaturallySpeaking 8 DVD Decrypter (Remove Only) DVDx 2.2 ESSpray 2.11 Express Scribe Uninstall GameSpy Arcade HALF-LIFE: COUNTER-STRIKE HijackThis 1.99.1 ICQ 4.1 InterVideo WinDVD 4 IsoBuster 1.6 Kazaa Lite K++ v2.4.3 L&H TTS3000 Deutsch Lexmark X74-X75 LSP Explorer plug-in for Ad-Aware SE Macromedia Dreamweaver MX Macromedia Extension Manager Macromedia Fireworks MX Macromedia Flash MX Macromedia FreeHand 10 MAGIX music studio 2004 deLuxe Microsoft Internet Explorer 6 SP1 Microsoft Office XP Professional mit FrontPage Microsoft Text-to-Speech Engine 4.0 (English) MSXML4 Parser Music Visualizer Library 1.4.00 OpenMG Limited Patch 3.1-02-10-22-01 OpenMG Limited Patch 3.1-02-10-22-02 OpenMG Limited Patch 3.1-02-12-04-01 OpenMG Secure Module 3.1 Perfect Six-Pack Pinnacle Hollywood FX 4.6 Pinnacle InstantCD/DVD Suite Plan4You Easy RealPlayer Security Task Manager 1.6e Shockwave Skype 1.0 SonicStage 1.5.06 Sound Blaster Live! Spybot - Search & Destroy 1.3 Spyware Doctor 3.2 Star Wars®: Knights of the Old Republic (TM) Steam Studio 8 SuperScan Wizard 2.1 Sygate Personal Firewall TextAloud MP3 TMPGEnc Plus 2.5 Tsunami-Filter-Pack VX2 Cleaner plug-in for Ad-Aware SE Winamp (remove only) Windows 2000-Hotfix - KB823980 WinRAR Archivierer Win-Tuning Suite 2003 2.0.7 X-Stream X-Stream II DANKE NOCHMALS! |
|
|
||
23.04.2005, 22:56
Moderator
Beiträge: 7805 |
#4
Fix bitte folgendes:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0271/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - C:\WINNT\System32\SEARCH~1.DLL F3 - REG:win.ini: run=C:\WINNT\system32\svhost.exe O1 - Hosts: 66.159.18.75 www.astalavista.com O1 - Hosts: 66.159.18.75 astalavista.com O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O19 - User stylesheet: (file missing) Dann bitte neu starten und diese Datei C:\WINNT\system32\svhost.exe bei http://virusscan.jotti.org/ testen und melde, was gefundn wird. Pruefe den Rechner bitte noch mit [URL=http://www.trojaner-info.de/hijacker/escan.shtml]eScan[/URL] und sag, wenn es etwas gefunden haben sollte. Ein Update ist nicht noetig, nur solltest du den Scan im abgesicherten Modus machen. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
24.04.2005, 10:35
...neu hier
Themenstarter Beiträge: 5 |
#5
BEI http://virusscan.jotti.org/ folgendes:
AntiVir Found nothing Avast Found Win32:Bube-B AVG Antivirus Found nothing BitDefender Found BehavesLike:Win32.ExplorerInfector (probable variant) ClamAV Found Trojan.W32.Bube.J Dr.Web Found Trojan.DownLoader.2102 F-Prot Antivirus Found nothing Fortinet Found W32/Bube.I Kaspersky Anti-Virus Found Virus.Win32.Bube.l mks_vir Found nothing NOD32 Found nothing Norman Virus Control Found Sandbox: W32/Malware; [ General information ] * **Locates window "NULL [class Progman]" on desktop. * **Locates window "NULL [class Shell_TrayWnd]" on desktop. * Creating several executable files on hard-drive. * File length: 8704 bytes. [ Changes to filesystem ] * Creates file C:\WINDOWS\SYSTEM\sample.exe. * Creates file C:\WINDOWS\SYSTEM\svhost.exe. * Creates file C:\WINDOWS\wininit.ini. * Creates file .\tasks. [ Changes to registry ] * Sets value "SelfLimit"="" in key "HKCU\Software\Microsoft\Internet Explorer\Main". * Sets value "SelfLimit"="" in key "HKLM\Software\Microsoft\Internet Explorer\Main". * Creates value "System backup"="C:\WINDOWS\SYSTEM\sample.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run". * Creates value "System backup"="C:\WINDOWS\SYSTEM\sample.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run". * Modifies value "FirewallDisableNotify"="" in key "HKLM\Software\Microsoft\Security Center". * Modifies value "UpdatesDisableNotify"="" in key "HKLM\Software\Microsoft\Security Center". * Modifies value "AntiVirusDisableNotify"="" in key "HKLM\Software\Microsoft\Security Center". [ Changes to system settings ] * Modifies profile key "run"="C:\WINDOWS\SYSTEM\svhost.exe" in section [Windows] of file C:\WINDOWS\WIN.INI. [ Network services ] * Opens URL: http://advadmin.biz/zachot.php?status=1&num=11&country=000000&hash=4811b6fa6ad6742e&os=01&ver1=04&ver2=5A&ver3=&hash=4811b6fa6ad6742e&os=01&ver1=04&ver2=5A&ver3=. * Opens URL: http://advadmin.biz/tasks. * Looks for an Internet connection. [ Process/window information ] * Creates a mutex bayan. * Will automatically restart after boot (I'll be back...). * Creates a mutex kgam. VBA32 Found Unknown.Win32Virus (probable variant) escan mache ich gleich! |
|
|
||
25.04.2005, 15:37
Moderator
Beiträge: 7805 |
#6
Uh, Bube! Aetzend
Schicke bitte die C:\WINNT\system32\svhost.exe an virus@protecus.de Du hast nun mehrere Moeglichkeiten. Mein Favorit waere Kiste Plattmachen! Oder mache es mit der Kombination KAV/Trial und MS Antispy: Siehe dazu auch diese (englische) Anleitung: http://forum.gladiator-antivirus.com/index.php?showtopic=23364 Dazu solltst du dein AVG entweder erst deaktivieren, oder gleich deinstallieren. Sorry, aber das Ding ist hartnaeckig. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
25.04.2005, 19:17
...neu hier
Themenstarter Beiträge: 5 |
#7
Habe mittlerweile den Bube mit EScan Trial version entfernen können.
Auf http://www.pandasoftware.com/activescan/de/activescan_principal.htm habe ich einen onlinescan gemacht und folgenden log bekommen: Ereignis Zustand Standort Adware:Adware/Hotoffers Nicht desinfiziert C:\WINNT\System32\param32.dll Adware:Adware/ExactSearch Nicht desinfiziert Windows-Registry Spyware:Spyware/Spyblocs Nicht desinfiziert C:\Dokumente und Einstellungen\Ivan\Desktop\Remove Spyware.url Adware:Adware/Hotoffers Nicht desinfiziert C:\WINNT\System32\param32.dll Spyware:Spyware/Spyblocs Nicht desinfiziert C:\Dokumente und Einstellungen\Ivan\Desktop\Remove Spyware.url Virus:Bck/IRCBot.O Desinfiziert C:\Programme\Norton AntiVirus\Quarantine\01E37F7C.exe.mwt Virus:W32/Randex.DF.worm Desinfiziert C:\Programme\Norton AntiVirus\Quarantine\0713477D.exe.mwt Virus:W32/Randex.DF.worm Desinfiziert C:\Programme\Norton AntiVirus\Quarantine\109A4B01.exe.mwt Virus:Bck/IRCBot.O Desinfiziert C:\Programme\Norton AntiVirus\Quarantine\3DC968BA.exe.mwt Virus:Bck/IRCBot.O Desinfiziert C:\Programme\Norton AntiVirus\Quarantine\40F57F7D.exe.mwt Virus:Bck/IRCBot.O Desinfiziert C:\Programme\Norton AntiVirus\Quarantine\41FD485A.exe.mwt Virus:W32/Randex.T.worm Desinfiziert C:\Programme\Norton AntiVirus\Quarantine\4C7A18D0.exe.mwt Virus:W32/Randex.CA.worm Desinfiziert C:\Programme\Norton AntiVirus\Quarantine\62FF1968.exe.mwt Virus:Bck/IRCFlood.V Desinfiziert C:\RECYCLER\NPROTECT\00046438.dll Adware:Adware/Hotoffers Nicht desinfiziert C:\WINNT\system32\param32.dll Virus:W32/Admincash.B Desinfiziert C:\WINNT\system32\svhost.exe.mwt Virus:Bck/Sdbot.FY Desinfiziert C:\WINNT\system32\temp Virus:W32/Admincash.B Desinfiziert C:\WINNT\system32\_web.exe.mwt Mögliches Virus. Nicht desinfiziert D:\Games\GSA\fpupdate.exe Vielleicht gibt es noch Hoffnung! Wenn ich aber das System neu aufsetzen muss habe ich eine Frage. In meiner Kiste ist ne zweite Platte mit 160GB kann ich dann C: einfach so formatieren und die Daten auf der anderen nich befallenen Platte bleiben? Ich frage weil Win2K die platte nicht als 160GB erkennen hat können am Anfang und eine besondere Formatiereung mit einem extra Tool gemacht werden müsste. Danke nochmals! |
|
|
||
25.04.2005, 21:47
Moderator
Beiträge: 7805 |
#8
Ja, es reicht, die Systempartition zu formatieren. BTW: Panda scheint deine infizierte Explorer exe nicht desinfiziert zu haben....
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
27.04.2005, 08:30
...neu hier
Themenstarter Beiträge: 5 |
#9
Gestern habe ich das Problem gelöst!!!!!!!!!!!!!
Hier die Schritte: Das Tool von http://www.dingens.org/ herunterladen und ausführen. Der onlinescan von Panda (http://www.pandasoftware.com/activescan/de/activescan_principal.htm) hat den Wurm hier gefunden „C:\WINNT\System32\param32.dll“ Killbox gestartet und die befallene Datei gekillt und neu PC neugestartet. Der komische Kreis mit dem weißen X ist dann aus dem Tray verschwunden. Panda onlinescan hat auch den befall in der Registry gefunden „R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0271/“, welcher auch bei einem scan mit Hijackthis gefunden wurde jedoch sich nicht entfernen ließ weil er immer wieder durch die param32.dll reinkopiert wurde. Jetzt ging es aber weil die DLL Datei gekillt wurde. Das wars auch schon. Das einzige Problem das ich noch habe und ich euch bitte mir zu helfen ist dieses Tool von dingens.org. Seitdem ich es ausgeführt habe komme ich nicht mehr ins Internet. Ich kann mich zwar verbinden (Anbieter ist Liwest Kabel Modem..) aber komme nicht rein ins Netz IE und Outlook kommen nicht rein. BITTE EUCH DIESBEZÜGLICH UM HILFE! MfG 4r4 |
|
|
||
27.04.2005, 17:24
Ehrenmitglied
Beiträge: 29434 |
#10
4r4g0rn
Start<Ausfuehren<cmd kopiere rein rein: c:\windows\win.ini <click o.k. der MS-DOS Editor oeffnet sich suche einen Eintrag: run= C:\WINNT\System32\svhost.exe <loesche diese Zeile rechts von run # Click File > Save. # Click File > Exit. Start-->Ausfuehren--> regedit loesche die Eintraege:"SelfLimit"="" i Sets value "SelfLimit"="" in key "HKCU\Software\Microsoft\Internet Explorer\Main". * Sets value "SelfLimit"="" in key "HKLM\Software\Microsoft\Internet Explorer\Main". veraendere die Werte (ich weiss nicht, welche erstellt wurden...damit die Updates wieder moeglich sind) * Modifies value "FirewallDisableNotify"="" in key "HKLM\Software\Microsoft\Security Center". * Modifies value "UpdatesDisableNotify"="" in key "HKLM\Software\Microsoft\Security Center". * Modifies value "AntiVirusDisableNotify"="" in key "HKLM\Software\Microsoft\Security Center". •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINNT\system32\svhost.exe.mwt C:\Dokumente und Einstellungen\Ivan\Desktop\Remove Spyware.url C:\WINNT\system32\param32.dll C:\WINNT\SYSTEM32\sample.exe C:\WINNT\System32\temp C:\WINNT\System32\_web.exe C:\WINNT\system32\_web.exe.mwt pc neustarten avast_4_home http://www.avast.com/eng/avast_4_home.html installieren--> dann wird ein Boots-Scann angeboten-->akzeptieren und danach das Log vom Scann suchen und posten aswclnr.log DATA/report/aswboot.txt <--posten ----------------- http://www.dingens.org/ du hast verschiedene Moeglichkeiten, die Dienste abzuschalten. Waehle eine andere Modalidade oder stelle auf "alle Dienste unveraendert lassen) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
bin seit heute hier und aus gutem Grund, wie ich meine! Seit gestern habe ich einen Wurm/Trojaner/... was auch immer mit den Namen _winSterHJK v. 2001
Äussert sich indem er Shortcuts auf dem Desktop kreirt und den IExplorer mit "newgenlook.info" - Sites füttert. Auch in der Statusleiste rechts unten ist ein roter Kreis mit einem weißen X drinnen. Beim klick aud diesen Kreis mit X öffnet er den IEXplorer mit newgenl....-Sites auch wenn ich mit der rechten Maustaste raufklicke!
Alle meine Versuche mit SpywareDoc, Spybot, Hijackthis, AVG, ADWare,... waren ohne Erfolg auch im WWW war über diesen Wurm nichts zu finden ausser auf französicshen Sites.
Bitte helft mir ich bin schon ganz verzweifelt! Danke im Voraus!