mehrere Trojaner, Spyware und Dialer bei Studentin- Was soll ich machen?

#0
19.08.2005, 12:37
...neu hier

Beiträge: 2
#1 so hallo erst mal, ich hatte hier in den letzten 2 Tagen eine Studentin, wo der Rechner nicht mehr richtig runter- bzw. hochfahren wollte.

Hinzu kam das die meisten Programme sich nicht sofort starten konnten, ca. 20-30 Sekunden verzögerung .

Ich habe folgendes gemacht:

Rechner geupdatet (war Service Pack 1, noch nie einen Patch gesehen , autsch!)
Systemwiederherstellung aus,

gescannt mit Spybot, CWS Shreder und Adaware .

so nun die Ergebnisse:

Spybot fand Aurora , Hotbar , 2 Dialer und mehr, alles gelöscht (auch die Sicherung)
CWS Shredder fand nichts

mit Adaware habe ich so um die 22 Einträge gelöscht (angelegte Sicherung natürlich auch).

so nun zu den Meldungen von Antivir:

von heut vormittag:

19.08.2005,11:24:38 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.WinAD.H!
C:\MSDUP32DL.EXE
[INFO] Die Datei wurde gelöscht!
19.08.2005,11:33:13 [WARNUNG] Ist das Trojanische Pferd TR/LowZones.bh.14!
C:\WINDOWS\DOWNLOADED PROGRAM FILES\MEDIAGATEWAYX.DLL
[INFO] Die Datei wurde gelöscht!

19.08.2005,11:33:43 [WARNUNG] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/Generic (Dialer)!
C:\WINDOWS\INSTALLER[GPI-10226,DE].EXE
[INFO] Die Datei wurde gelöscht!
19.08.2005,11:43:28 [WARNUNG] Ist das Trojanische Pferd TR/LowZones.bh.14!
C:\WINDOWS\DOWNLOADED PROGRAM FILES\CONFLICT.1\MEDIAGATEWAYX.DLL
[INFO] Die Datei wurde gelöscht!
19.08.2005,11:46:30 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.WinAD.H!
C:\MSDUP32IDL.EXE
[INFO] Die Datei wurde gelöscht!

ach bevor ichs vergesse, gestern hatte ich schon so um die 10 Meldungen bekommen und diese gleich gelöscht.
Den Infected Ordner hab ich auch gelöscht.

Clear Prog und CC Cleaner habe ich zur Müllreinigung benutzt,

So hier nun das Hijack This Log für Euch :

Logfile of HijackThis v1.99.1
Scan saved at 12:07:11, on 19.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\grrxghc.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\Explorer.exe
C:\Programme\Hijack This\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [Windows More Choice] C:\WINDOWS\TopContext.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [tlaros] C:\WINDOWS\system32\grrxghc.exe r
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: VPN Client.lnk = ?
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC5CE182-0470-4A99-A9C6-29BAA048EB05}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = uni-oldenburg.de,uni-oldenburg.de,uni-oldenburg.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = uni-oldenburg.de,uni-oldenburg.de,uni-oldenburg.de
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TrueVector Basic Logging Client (minilog) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\minilog.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - c:\windows\SvcProc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


so, ich würde sagen,durch das was ich hier schon alleine über die Trojanner gelesen habe, denke ich das der Rechner völlig verseucht ist, nur besteht folgendes Problem:
das Laptop steht mir nicht zur Verfügung, das sie es zum lernen braucht,auch am WE,und sie meint das alles so schnell wie möglich wieder funktionieren soll zum Musik hören, Emails abfragen und co.

also was soll ich machen?

vielen Dank

aus der Uni Ol

wink : have a nice Day@Sabrina
Seitenanfang Seitenende
19.08.2005, 13:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@Sabu

da ist noch eine Nail-verseuchung:

Start -- Ausfuehren -- schreib rein: cmd

kopiere rein:
sc stop SvcProc
klicke "enter"

und warte ein bisschen, dann kopiere rein:

sc delete SvcProc
klicke "enter"

kopiere rein:
del D:\WINDOWS\svcproc.exe
Klicke "enter"

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


REGEDIT4

[-HKEY_CURRENT_USER\Software\aurora]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).
Die Datei "fixme.reg" auf dem Desktop doppelklicken.

---------------------------------------------------------------------------------------

Lade:Find_It__s.zip-->klicke FindIt's.bat--> wenn der Editor sich oeffnet, kopiere den RText ab und poste ihn
http://bilder.informationsarchiv.net/Nikitas_Tools/Find_It__s.zip

FindT
http://bilder.informationsarchiv.net/Nikitas_Tools/FindT.zip
in C:\ entpacken -- öffne "Find T" folder -- klicke batch file (runthis.bat) -- poste die txt (Textdatei) in den Thread

dann beginnt die reinigung, wenn ich alle Daten habe ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.08.2005, 13:49
...neu hier

Themenstarter

Beiträge: 2
#3 @Sabrina:

erstmal fürs anschauen vielen Dank, noch ein kleiner Nachtrag, konnte heut morgen wegen Zeitmangel,den Laptop mit Antivir nicht komplett scannen, da ihr Lernkreis um 12 Uhr kam und sie somit deswegen keine Zeit mehr hatte und ungeduldig fragte , ob denn alles in Ordnung sei.

kann etwas dauern, da heute nicht mehr an den Laptop komme, sie befindet sich gerade im Lernkreis.

nur noch 2 Fragen:

1.) wie schlimm ist diese Nailz Verseuchung?
2.) wie sieht ansonsten dieses Hijack this log aus?

hab mir schon gedacht , das da noch mehr ist,
Seitenanfang Seitenende
19.08.2005, 14:11
Member
Avatar Gool

Beiträge: 4730
#4

Zitat

Nail.exe is a is a hijacker which means it will intermittently change your Internet Explorer settings / Desktop to the link of it’s author’s sponsors. This program is usually installed through consent, however is sometimes packaged as another product. It is a registered security risk and should be removed immediately.
http://www.processlibrary.com/directory/files/nail/

Diese Nail-Verseuchung ist manchmal schlimmer als eine Virenverseuchung.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
31.08.2005, 13:47
...neu hier

Beiträge: 2
#5 Hallo,
habe den Trojaner TR/LowZones.b.h.14. im Widows 2000 Professional.
Wenn ich sehe wie Ihr mit High Jack This repariert ,stehn mir die Haare zu Berge,weil ich denke daß man durch vertippen vielleicht das System abschießt.
Giebt es keinen Virenscanner oder Trojanertöter ?? ,der den Trojaner auch so eliminiert, ohne diese Klimmzüge.
Danke für Eure Antwort,
MfG.
Amatör
Seitenanfang Seitenende
31.08.2005, 13:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Nail/Bolger/Aurora Remover
** http://forum.hijackthis.de/showthread.php?t=3172
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.08.2005, 15:24
...neu hier

Beiträge: 2
#7

Zitat

Sabina postete
Nail/Bolger/Aurora Remover
** http://forum.hijackthis.de/showthread.php?t=3172
Hallo,
Wenn ich diesen Download http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm
starte bleibt der PC auf dem Icon des Downsloads hängen .Warum?
MfG.
Amatör
Seitenanfang Seitenende
31.08.2005, 15:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo@amatör

scannst du mit dem IE ?
sind die AktiveX im IE aktiviert ?--> falls nicht,fuer den Scan aktivieren)
http://virus-protect.org/ie.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: