Internet Explorer\Main,Local Page =

#0
31.08.2005, 01:09
...neu hier

Beiträge: 6
#1 bekomme den Eintrag nicht weg ( R0 ) ! Komme mit mühe und not ins netz !
Alles wird sabotiert. Ständige Scans auf UDP 1026 und 1027. Angriffe über DCOM
und Microsoft ds ! Brauche dringend Hilfe ! Mist, ich versuche es morgen nochmal über einen anderen Rechner ! Ich kann auch keine Logs Posten ! Nichts funst mehr !
Klinkt dramatisch wie ! Ist es auch ! Ich brauch die Kiste dringend !
Danke erstmal !

Hallo,
entschuldigt mein konfuses posting von gestern, aber die Kommunikation
mit eurem lobenswerten Board wurde abgefangen und gestört, war kaum hinzukriegen !
Das Ding ist, ich habe es zu spät erkannt das ich gehackt werde ! Habe den Mist mindestens
1 Monat auf dem Rechner und es ist davon auszugehen das diese Verbrecher meine sämtlichen
Passwörter ( Websiten, Email, Ebay ) ausgespäht haben. Leider habe ich überhastet formatiert und
ein Ghost- Image wiederhergestellt, die HJ- logs dabei mitgelöscht. Ich poste hier mal die Reste,
ist kaum noch etwas auf dem Rechner was ich nicht kenne. Das letzte was ich an Autostarts rausgeschmissen habe ist "ati2evxx.exe" hat nur kurzfristig was gebracht, wie alles was ich
unternehme.

Logfile of HijackThis v1.99.1
Scan saved at 20:46:26, on 29.08.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\STARTUPMONITOR.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\DESKTOP\VIRUS\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe

hier noch mein aktuelles Log:

Logfile of HijackThis v1.99.1
Scan saved at 11:26:39, on 31.08.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL\OUTPOST.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\THE CLEANER\TCA.EXE
C:\PROGRAMME\THE CLEANER\TCM.EXE
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\WINDOWS\STARTUPMONITOR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMME\AT-AR215\AT-AR215 USB ADSL WAN ADAPTER\DSLMON.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\DESKTOP\VIRUS\HIJACKTHIS\HIJACKTHIS.EXE

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\Scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [tcactive] C:\PROGRAMME\THE CLEANER\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\PROGRAMME\THE CLEANER\tcm.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL\outpost.exe /waitservice
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [Outpost Firewall] C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL\outpost.exe /service
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
O9 - Extra button: Browser-Anpassung - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL\PLUGINS\BROWSERBAR\IE_BAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm


Ich hätte auch noch einige Escan- logs die ich posten könnte, es wurde unter anderen Backdoor " bifrose"erkannt.
Dieser Beitrag wurde am 31.08.2005 um 11:46 Uhr von HerrOpfer editiert.
Seitenanfang Seitenende
01.09.2005, 14:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@HerrOpfer

Bitte führe folgendes aus:
Erstelle auf dem Desktop eine Datei findit.bat. Rechte Maustaste - Bearbeiten
Dort fügst Du ein und speicherst:

@echo off
cd\
cd %windir%\system
dir /a:-d /o:-d > %systemdrive%\system.txt
cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\win.txt
cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
exit


Ausführen!
Im Verzeichnis C:\ liegen nun vier Text-Dateien. Die öffnest Du bitte und kopierst alle Einträge der letzten 2 Wochen hier
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.09.2005, 00:07
...neu hier

Themenstarter

Beiträge: 6
#3 Puh !
Ich dachte schon da kommt nichts mehr. Danke für die Antwort !
Inzwischen kann ich mit Bestimmtheit sagen das meine Festplatte sauber ist.
( ausgetauscht ) Gerade wollte ich mein Weblog aktualisieren und Pass wechseln,
katastrophal ! Die Seiten gingen kaum auf. Einloggen klappte erst beim xten mal.
Gefakte WindowsUpdate aufforderung und Dslmodemmeldung. Ich hab ne ziemliche Hasskappe weil mein Ebayhandel und meine Webseite betroffen sind. Ich vermute meine Pagebesucher wurden auf irgendeine Dialerseite umgeleitet, Besucherzahlen sind total eingebrochen. Wie kann das angehen ? Haben die meine Netzwerkarte oder das Modem gehackt oder was ?


Gestern nacht wurde mein posting hier wieder sabotiert, Local Page= war wieder
da ! Gefixt ! Außerdem wurde mehrfach versucht DOSVM auszuführen. möglicherweise neuinfektion über diskette ( Habe vergessen bios umzustellen, ich
Schaf ) Heute morgen ging der Browser nicht mehr auf. Habe msyuv.dll aus der
system.ini gelöscht und shellconcache weggeschmissen.
Die Angriffe kommen hauptsächlich über DCOM, Microsoft_DS und netbios session. Ständige portscans auf Udp 1026,1027

Danke für Deine Mühe !!!!



Datentr„ger in Laufwerk C: hat keine Bezeichnung
Seriennummer des Datentr„gers: 3F28-1410
Verzeichnis von C:\

SYSTEM TXT 74.163 02.09.05 9:20 system.txt
SYSTEM~1 TXT 633 02.09.05 9:20 systemtemp.txt
WIN TXT 13.906 02.09.05 9:20 win.txt
SYS TXT 0 02.09.05 9:20 sys.txt
AUTOEXEC BAT 306 02.09.05 9:14 AUTOEXEC.BAT
BOOTLOG TXT 58.974 02.09.05 9:14 BOOTLOG.TXT
BOOTLOG PRV 64.432 02.09.05 9:12 BOOTLOG.PRV
CONFIG BAK 0 02.09.05 9:12 CONFIG.BAK
AUTOEXEC BAK 306 02.09.05 9:12 AUTOEXEC.BAK
CONFIG SYS 0 02.09.05 9:12 Config.sys
SCANDISK LOG 529 02.09.05 9:01 SCANDISK.LOG
SETUPLOG TXT 173.964 31.08.05 16:52 SETUPLOG.TXT
CONFIG CTL 0 31.08.05 14:02 Config.ctl
NETLOG TXT 26.258 31.08.05 13:29 NETLOG.TXT
MSDOS SYS 1.660 31.08.05 13:26 MSDOS.SYS
VIDEOROM BIN 53.248 31.08.05 13:26 VIDEOROM.BIN
DETLOG TXT 46.591 31.08.05 13:23 DETLOG.TXT
SUHDLOG DAT 5.166 31.08.05 13:20 SUHDLOG.DAT
SYSTEM 1ST 442.400 31.08.05 13:20 SYSTEM.1ST
CLASSES 1ST 229.408 31.08.05 13:20 CLASSES.1ST
MSDOS --- 22 31.08.05 13:04 MSDOS.---
IO SYS 110.592 08.06.00 17:00 io.sys
COMMAND COM 95.504 08.06.00 17:00 command.com
23 Datei(en) 1.398.062 Bytes
0 Verzeichnis(se) 8.023,56 MB frei


Datentr„ger in Laufwerk C: hat keine Bezeichnung
Seriennummer des Datentr„gers: 3F28-1410
Verzeichnis von C:\WINDOWS

CLASSES DAT 2.584.608 02.09.05 9:20 CLASSES.DAT
USER DAT 393.248 02.09.05 9:20 USER.DAT
WIN386 SWP 213.909.504 02.09.05 9:20 WIN386.SWP
SYSTEM DAT 1.421.344 02.09.05 9:19 SYSTEM.DAT
WIASERVC LOG 50 02.09.05 9:18 wiaservc.log
SYSTEM INI 1.944 02.09.05 9:14 system.ini
WAVEMIX INI 54 02.09.05 9:14 WAVEMIX.INI
POWERPNT INI 60 02.09.05 9:14 POWERPNT.INI
ODBC INI 152 02.09.05 9:14 ODBC.INI
TRANSP GIF 49 02.09.05 9:14 transp.gif
NOHIBER TXT 90 02.09.05 9:14 NOHIBER.TXT
NDISLOG TXT 0 02.09.05 9:14 NDISLOG.TXT
TTFCACHE 3.724 02.09.05 9:02 ttfCache
SYSTEM CB 116 02.09.05 9:01 SYSTEM.CB
WIN INI 8.406 01.09.05 20:43 WIN.INI
FAULTLOG TXT 1.894 01.09.05 20:12 Faultlog.txt
NSREG DAT 0 31.08.05 23:05 nsreg.dat
UNINST~1 EXE 99.970 31.08.05 23:05 UninstallFirefox.exe
MOZVER DAT 2.608 31.08.05 23:05 mozver.dat
SCHEDLOG TXT 2.162 31.08.05 18:23 SchedLog.Txt
SSDPCA~1 TXT 0 31.08.05 18:23 ssdpcache.txt
RESUME TXT 24 31.08.05 17:42 RESUME.TXT
SETUPAPI LOG 305.460 31.08.05 16:52 setupapi.log
ADIRAS INI 344 31.08.05 16:49 adiras.ini
ADIDSL INI 64 31.08.05 16:49 adidsl.ini
DIRECTX LOG 72.834 31.08.05 15:51 Directx.log
WININI~1 OLD 12.305 31.08.05 15:50 wininitlog.old
WININIT SAV 5.487 31.08.05 15:49 WININIT.SAV
TMPDELIS BAT 122 31.08.05 15:44 tmpdelis.bat
TMPCPYIS BAT 291 31.08.05 15:43 tmpcpyis.bat
BRNDLOG TXT 5.367 31.08.05 15:39 brndlog.txt
OEWABLOG TXT 822 31.08.05 15:39 OEWABLog.txt
RUNONC~1 TXT 17.046 31.08.05 15:38 RunOnceEx Log.txt
BRNDLOG BAK 233 31.08.05 15:38 brndlog.bak
ACTIVE~1 TXT 15.762 31.08.05 15:37 Active Setup Log.txt
MAILMARK INI 0 31.08.05 15:17 Mailmark.ini
MAXLINK INI 116 31.08.05 14:42 maxlink.ini
TB96 INI 81 31.08.05 14:42 TB96.INI
WATCH INI 52 31.08.05 14:40 watch.ini
DOSSTART BAT 44 31.08.05 14:35 DOSSTART.BAT
SBWIN INI 68 31.08.05 14:35 SBWIN.INI
SBPCI INI 188 31.08.05 14:33 sbpci.ini
WINSTART BAT 26 31.08.05 14:20 winstart.bat
CONTROL INI 882 31.08.05 13:32 CONTROL.INI
WMSYSPRX PRX 288.562 31.08.05 13:29 WMSysPrx.prx
TELEPHON INI 225 31.08.05 13:29 TELEPHON.INI
MODEMCPL TXT 514 31.08.05 13:29 ModemCpl.txt
HWINFO DAT 184.352 31.08.05 13:29 HWINFO.DAT
ODBCINST INI 1.443 31.08.05 13:29 ODBCINST.INI
FOLDER HTT 23.272 31.08.05 13:28 folder.htt
DESKTOP INI 271 31.08.05 13:28 desktop.ini
STI_EV~1 LOG 0 31.08.05 13:26 Sti_Event.log
STI_TR~1 LOG 0 31.08.05 13:26 Sti_Trace.log
PROGMAN INI 0 31.08.05 13:26 progman.ini
QTW INI 28 31.08.05 13:20 QTW.INI
MSOFFICE INI 26 31.08.05 13:20 MSOFFICE.INI
SETVER EXE 19.131 31.08.05 13:20 SETVER.EXE
HIDCI DLL 3.232 31.08.05 13:19 HIDCI.DLL
WINSOCK DLL 21.520 31.08.05 13:19 WINSOCK.DLL
PIDGEN DLL 29.376 31.08.05 13:14 PIDGEN.DLL
9XADIRAS EXE 32.768 26.04.02 10:30 9xadiras.exe
RESTART EXE 112.563 07.08.01 9:14 restart.exe
WSCRIPT EXE 118.834 26.06.01 17:53 WSCRIPT.EXE

PIXCACHE INI 160 29.02.96 14:36 pixcache.ini
UNINST EXE 282.624 23.10.95 16:14 UNINST.EXE
MSVCRT40 DLL 312.832 29.09.95 23:06 MSVCRT40.DLL
240 Datei(en) 230.652.633 Bytes
0 Verzeichnis(se) 8.023,59 MB frei


Datentr„ger in Laufwerk C: hat keine Bezeichnung
Seriennummer des Datentr„gers: 3F28-1410
Verzeichnis von C:\WINDOWS\SYSTEM

SMBIOS DAT 1.173 31.08.05 17:59 SMBIOS.DAT
SMBIOS EPS 31 31.08.05 17:59 SMBIOS.EPS
LMSCRIPT PIF 995 31.08.05 16:58 LMSCRIPT.PIF
NSCOMPAT TLB 23.392 31.08.05 15:38 nscompat.tlb
AMCOMPAT TLB 16.832 31.08.05 15:38 amcompat.tlb
EV19X8 INI 0 31.08.05 14:33 ev19x8.ini
ATI64HLP STB 22 31.08.05 14:05 ati64hlp.stb
ACPI SYS 84.896 31.08.05 13:57 ACPI.SYS
PQ_DEBUG TXT 17.104 31.08.05 13:55 PQ_DEBUG.TXT
PQ_BATCH PQB 1.182 31.08.05 13:54 PQ_BATCH.PQB
PQ_DEBUG 001 26.003 31.08.05 13:47 PQ_DEBUG.001
PQ_BATCH 001 1.147 31.08.05 13:46 PQ_BATCH.001
WMPSCH~1 XML 19.012 31.08.05 13:30 wmpscheme.xml
HWINFOD VXD 10.982 31.08.05 13:29 HwInfoD.vxd
FOLDER HTT 23.272 31.08.05 13:28 folder.htt
DESKTOP INI 271 31.08.05 13:28 desktop.ini
VMM32 VXD 1.033.142 31.08.05 13:21 VMM32.VXD
HIDCI DLL 3.232 31.08.05 13:19 HIDCI.DLL
WSOCK32 DLL 36.864 31.08.05 13:19 WSOCK32.DLL
COMMDLG DLL 89.559 31.08.05 13:19 COMMDLG.DLL
SHELL DLL 134.915 31.08.05 13:19 SHELL.DLL
VER DLL 12.847 31.08.05 13:19 VER.DLL
NWNDS DLL 7.507 31.08.05 13:17 NWNDS.DLL
PPPNDI DLL 2.259 31.08.05 13:17 PPPNDI.DLL
RNASETUP DLL 8.803 31.08.05 13:17 RNASETUP.DLL
SYSDETMG DLL 303.315 31.08.05 13:17 SYSDETMG.DLL
MSTCP DLL 41.699 31.08.05 13:17 MSTCP.DLL
NDSWAN16 DLL 1.728 31.08.05 13:17 NDSWAN16.DLL
NETAPI DLL 106.787 31.08.05 13:17 NETAPI.DLL
NETDI DLL 348.979 31.08.05 13:17 NETDI.DLL
NETOS DLL 27.744 31.08.05 13:17 NETOS.DLL
MSPRINT DLL 91.363 31.08.05 13:17 MSPRINT.DLL
CFGWIZ DLL 2.560 31.08.05 13:17 CFGWIZ.DLL
DINDI DLL 26.848 31.08.05 13:17 DINDI.DLL
DLCNDI DLL 2.490 31.08.05 13:17 DLCNDI.DLL
DSKMAINT DLL 238.467 31.08.05 13:17 DSKMAINT.DLL
COMMCTRL DLL 155.411 31.08.05 13:17 COMMCTRL.DLL
LZEXPAND DLL 23.696 31.08.05 13:17 LZEXPAND.DLL
INFRARED DLL 68.691 31.08.05 13:14 INFRARED.DLL
ISSETUP DLL 17.539 31.08.05 13:14 ISSETUP.DLL
INETWH32 DLL 49.152 25.07.05 16:22 inetwh32.dll
ROBOEX32 DLL 1.044.480 25.07.05 16:22 roboex32.dll
WE DLL 1.113.088 13.09.04 16:59 we.dll
WODKEYS DLL 467.040 07.09.04 23:26 wodKeys.dll
WODSFTP OCX 471.184 07.09.04 23:25 wodSFTP.ocx
WODSFTP DLL 430.224 07.09.04 23:25 wodSFTP.dll
ACEBITAW DLL 371.712 01.06.04 16:03 acebitaw.dll
Dieser Beitrag wurde am 02.09.2005 um 10:18 Uhr von HerrOpfer editiert.
Seitenanfang Seitenende
02.09.2005, 12:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 arbeite bitte ab:

Escan- logs !!!!!!!!!!--> nur was infiziert ist...

http://virus-protect.org/silentrunner.html
http://virus-protect.org/winpfind.html
DLLCompare
http://downloads.subratam.org/DllCompare.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.09.2005, 22:44
...neu hier

Themenstarter

Beiträge: 6
#5 Hallo,
ich habe einige jscripte gefunden die sich im Content IE befanden und gelöscht, sie stellen sich aber wieder her genauso wie die videorom bin in C:.Außerdem habe ich an der Reg. rumgefummelt und einträge gelöscht die mit Datei Setup.ilg verknüpft waren, diese war wohl für den Start von DOSVM
verantwortlich. Ich vergaß zu erwähnen das ich auch sehr häufig Bootsektor und Cluster fehler
gemeldet bekommen habe, vieleicht ist das ja hilfreich. Ich bin total überfordert mit dem ganzen
Schei... und kurz davor das Handtuch zu schmeissen !
Dieser Beitrag wurde am 06.09.2005 um 09:21 Uhr von HerrOpfer editiert.
Seitenanfang Seitenende
02.09.2005, 23:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 es ist schwer fuer mich, was zu finden, wo ich anpacken kann....
weil du formatiert hast ....und somit fast alle Veraenderungen dokumentiert werden:

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

leere den Papierkorb:
C:\RECYCLED\desktop.ini
C:\RECYCLED\info2
C:\RECYCLED\dc85.dat
C:\RECYCLED\dc86.dat
C:\RECYCLED\dc120.dat

mache dich auf und ....Onlinescans, einen nach dem andern und poste alles, was angezeigt wird ;)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.09.2005, 09:25
...neu hier

Themenstarter

Beiträge: 6
#7 Hallo Sabina,
hier sind die Ergebnisse meiner Onlinescans !
Habe alle Onlinescanner durchlaufen lassen bis auf
Bitdefender, da ist mir der Rechner abgeschmiert ! (abgeschossen ? )
Hinterher gab es Grafikprobleme, auch bei der Neuinstallation des Grakatreibers !
Mir fiel wieder die Ati2evxx.exe auf, die sich weiterhin Autostarten wollte.
Habe dann nochmal formatiert. Der Rechner scheint jetzt sauber zu sein,
allerdings werde ich weiterhin angegriffen, sobald ich mich einlogge, zack die ersten
Portscans.
Meistens die schon beschriebenen Angriffe und Dosvm sollte wieder gestartet werden.
Ferner soll wininit.bak zur ausführung gebracht werden, diese läd dann die shellconcache,
danach landet man wohl wieder bei local page=.
Soweit meine stümperhafte Analyse.

Ich bin jedenfalls nur noch mit total verammeltem
Rechner unterwegs ! +++

Die einzigen die fündig wurden waren Panda ( Fehlalarm ? )
und Raw.

RAW

Scan started at 03.09.2005 17:46:59

Scanning memory...
c:\WINDOWS\Desktop\down\WinRAR v3.20/wrar320.exe->(RARSfx)->Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious
c:\WINDOWS\Desktop\down\WinRaR_v3.30_Beta_1_by_mom.rar->WinRaR_v3.30_Beta_1_by_mom\WinRAR 3.30 beta 1.rar->WinRAR 3.30 beta 1\wrar33b1.exe->(RARSfx)->Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious
d:\poamt\PMPRINT.EXE - Trojan:Win32/AOL.PS.HH -> Infected
d:\poamt\PMSEND.EXE - Trojan:Win32/AOL.PS.A -> Suspicious
d:\poamt\PMPRINT.200 - Trojan:Win32/AOL.PS.HH -> Infected
d:\poamt\PLUGINS\ATTMNG.EXE - Trojan:Win32/AOL.Load386 -> Suspicious
d:\poamt\PLUGINS\DATAEXTR.EXE - Trojan:Win32/AOL.PS.JC -> Suspicious


Scanned
============================
Objects: 8041
Directories: 844
Archives: 469
Size(Kb): 2061043
Infected files: 2

Found
============================
Viruses found: 1
Suspicious files: 7
Disinfected files: 0
Mail files: 39

Panda :

First of all, uninstall BargainBuddy from the Add/Remove programs in the Control panel. Delete the entries that BargainBuddy has created in the Windows Registry </virus_info/glossary/>:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Bargains = "%Program files%\Bargain Buddy\bin\bargains.exe"
where %Program files% is the Program files directory </virus_info/glossary/>, where BargainBuddy is installed.

HKEY_LOCAL_MACHINE\ Software\ Bargains

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ explorer\ Browser Helper Objects\ {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1}

HKEY_LOCAL_MACHINE\ Software\ Classes\ CLSID\ {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1}

HKEY_LOCAL_MACHINE\ Software\ Classes\ Interface\ {C6906A23-4717-4E1F-F06EBED14177}

HKEY_LOCAL_MACHINE\ Software\ Classes\ Apuc.UrlCatcher.1

HKEY_LOCAL_MACHINE\ Software\ Classes\ Apuc.UrlCatcher
Seitenanfang Seitenende
06.09.2005, 10:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo@HerrOpfer

wininit.bak <--rechtklick, poste mir den Inhalt dieser Datei, bitte.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.09.2005, 12:23
...neu hier

Themenstarter

Beiträge: 6
#9 [Rename]
NUL=C:\WINDOWS\TEMP\A~NSISU_.EXE
NUL=C:\WINDOWS\TEMP\A~NSISU_.EXE
Seitenanfang Seitenende
06.09.2005, 12:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Bitte führe folgendes aus:
Erstelle auf dem Desktop eine Datei find.bat. Rechte Maustaste - Bearbeiten
Dort fügst Du ein und speicherst:

@echo off
cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
exit

bitte posten

----------------------
(INFO;)
A~NSISu_.exe file information
The process BargainBuddy Module belongs to the software BullsEye Network by eXact Advertising (www.exactadvertising.com).
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.09.2005, 12:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 gehe in die Registry

loesche:
HKEY_LOCAL_MACHINE\ Software\ Bargains

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ explorer\ Browser Helper Objects\ {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1}

HKEY_LOCAL_MACHINE\ Software\ Classes\ CLSID\ {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1}

HKEY_LOCAL_MACHINE\ Software\ Classes\ Interface\ {C6906A23-4717-4E1F-F06EBED14177}

HKEY_LOCAL_MACHINE\ Software\ Classes\ Apuc.UrlCatcher.1

HKEY_LOCAL_MACHINE\ Software\ Classes\ Apuc.UrlCatcher

---------------------------------------------------------------------------
loesche die wininit.bak und starte den PC neu

deinstalliere : BargainBuddy
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.09.2005, 13:38
...neu hier

Themenstarter

Beiträge: 6
#12 Geht leider nicht ! Längst alles runtergeputzt !

Gerade als ich die findit.bat ausführen wollte (offline )
bekam ich wieder die OUTPOST Warnung über Firefox:
Versteckter Prozeß : DOSVM !!! Ich finde dieses Prog nicht,
weder auf dem Rechner noch in der Registry.
Kannst Du mir sagen was das ist ?
Noch etwas:
Im Temp Ordner befindet sich häufiger ein Ordner namens
XPCOM ! Ein Mozilla Tool zur Browseranpassung ?
Den habe ich gezippt und aufgehoben,wohl das falsche
aufbewahrt. Oder könnte das relevant sein ?

Datentr„ger in Laufwerk C: hat keine Bezeichnung
Seriennummer des Datentr„gers: 3F28-1410
Verzeichnis von C:\WINDOWS\TEMP

JET494E TMP 0 06.09.05 11:53 JET494E.TMP
JET4F2D TMP 0 05.09.05 20:34 JET4F2D.TMP
JET4D3E TMP 0 05.09.05 8:58 JET4D3E.TMP
3 Datei(en) 0 Bytes
0 Verzeichnis(se) 8.430,55 MB frei

Noch zu Bargain: Das war vor dem Formatieren ! Und da habe ich auch schon nichts diesbezüglich gefunden !
Seitenanfang Seitenende
06.09.2005, 14:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 kopiere bitte die komplette Meldung ab, welche die Firewall ausgibt.

und: versuche bitte, ob das Tool auf deinem PC funktioniert, es enthaelt drei DOS-Scanner.
http://virus-protect.org/Artikel/Tools/multiavtool.html

Vielleicht kann noch jemand anderes hier helfen................
http://computing.net/windows95/wwwboard/forum/166345.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: