Home » Viren, Trojaner & Malware Forum » {CE6424F1-4424-4EA2-83D4-A9346AAD0F8D}: NameServer = 85.255.114.11 85.255.11 » Themenansicht
{CE6424F1-4424-4EA2-83D4-A9346AAD0F8D}: NameServer = 85.255.114.11 85.255.11Thema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
02.11.2005, 17:00
Member
Beiträge: 17 |
||
 
|
|
|
|
02.11.2005, 17:57
Moderator
Beiträge: 7805 |
#2
Der dns changer scheint immer noch bei dir aktiv zu sein, ob der wareout remover die version nicht kennt?
Nutzte bitte Blacklight http://www.f-secure.com/blacklight/try.shtml Lade es herunter, entpacke es in einen extra Ordner, starte es, waehle folgendes, erst " i acept the agreement", dann "scan", warte bis es den REchner geprueft hat, dann "next" und "exit". Es befindet sich nun eine TXT Datei in dem Ordner, in dem sich auch Blacklight befindet, post es bitte hier. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
03.11.2005, 13:02
Member
Themenstarter Beiträge: 17 |
#3
11/03/05 12:33:43 [Info]: BlackLight Engine 1.0.24 initialized
11/03/05 12:33:43 [Info]: OS: 5.1 build 2600 () 11/03/05 12:33:43 [Note]: 4019 4 11/03/05 12:33:43 [Note]: 4005 0 11/03/05 12:33:45 [Note]: 4006 0 11/03/05 12:33:45 [Note]: 4011 1056 11/03/05 12:33:46 [Note]: FSRAW library version 1.7.1013 11/03/05 12:34:39 [Note]: 4007 0 nichts gefunden ^^ |
|
|
|
|
|
|
03.11.2005, 13:29
Moderator
Beiträge: 7805 |
#4
Da habe ich mich wohl zu frueh gefreut....
Beende bitte den Teatimer und fixe den O17 Eintrag erneut. Dann sage uns bitte noch, was escan wo findet. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
03.11.2005, 16:23
Member
Themenstarter Beiträge: 17 |
#5
Thu Nov 03 15:49:36 2005 => Offending file found: C:\Dokumente und Einstellungen\Großmeister\Lokale Einstellungen\temporary internet files\content.ie5\kkq4t9vh\ads[2].htm
Thu Nov 03 15:49:36 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken. Thu Nov 03 15:49:36 2005 => Offending file found: C:\Dokumente und Einstellungen\Großmeister\Lokale Einstellungen\Temporary Internet Files\content.ie5\kkq4t9vh\ads[2].htm Thu Nov 03 15:49:36 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken. Thu Nov 03 15:49:40 2005 => ***** Scanning Registry for errors created because of Adware/Spyware ***** Thu Nov 03 15:49:41 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" refers to invalid object "C:\WINDOWS\System32\cmmgr32.exe". Action Taken: No Action Taken. Thu Nov 03 15:49:41 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\Shell.exe" refers to invalid object "D:\Destroyer Command\Shell.exe". Action Taken: No Action Taken. Thu Nov 03 15:49:41 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Ubisoft\Silent Hunter III\". Action Taken: No Action Taken. Thu Nov 03 15:49:41 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Ubisoft\". Action Taken: No Action Taken. Thu Nov 03 15:49:41 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".dbx". Action Taken: No Action Taken. Thu Nov 03 15:49:41 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".ERR". Action Taken: No Action Taken. Thu Nov 03 15:49:41 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".pf". Action Taken: No Action Taken. Thu Nov 03 15:49:44 2005 => Entry "HKCR\TypeLib\{DA0AC514-C1AE-11D3-84E7-005004C65534}" refers to invalid object "C:\Programme\F-Secure Anti-Virus\backweb\154149\program\fsbwce.dll". Action Taken: No Action Taken. Thu Nov 03 15:49:44 2005 => Entry "HKCR\Connection Manager Profile\shell\open\command" refers to invalid object "C:\WINDOWS\System32\CMMGR32.EXE "%1"". Action Taken: No Action Taken. Gestern hat er von den "whenu.savenow" noch 16 gefunden. Wenn ich die Log lade um etwas zu löschen erscheint immernoch nur 1 mp3 file den er aber nicht löscht. Manuell ging sie zu löschen, aber es ist sehr unwahrscheinlich dass da irgendwas drinne war, da von einer OriginalCD gegrabbt war. ^^ |
|
|
|
|
|
|
03.11.2005, 17:21
Moderator
Beiträge: 7805 |
#6
Nutze bitte einmal cleaner von www.ccleaner.com und poste ein neues komplettes(!) Hijackthis log.
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
05.11.2005, 12:54
Member
Themenstarter Beiträge: 17 |
#7
Logfile of HijackThis v1.99.1
Scan saved at 12:48:08, on 05.11.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\ewido\security suite\ewidoctrl.exe D:\ewido\security suite\ewidoguard.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Norton Internet Security\SymProxySvc.exe C:\Programme\Norton Internet Security\NISSERV.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Norton Internet Security\IAMAPP.EXE C:\PROGRA~1\NORTON~1\navapw32.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE D:\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe E:\Toolz\HJT\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp3\winampa.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128573328116 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1130774545265 O17 - HKLM\System\CCS\Services\Tcpip\..\{CE6424F1-4424-4EA2-83D4-A9346AAD0F8D}: NameServer = 85.255.114.11 85.255.112.150 O23 - Service: ewido security suite control - ewido networks - D:\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - D:\ewido\security suite\ewidoguard.exe O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - C:\Programme\Norton Internet Security\NISSERV.EXE O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\SymProxySvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Ich weiss SP1 ist zu alt... benutze aber auch nur noch firefox. Dieser Beitrag wurde am 05.11.2005 um 13:14 Uhr von HansHansen editiert.
|
|
|
|
|
|
|
05.11.2005, 13:07
Moderator
Beiträge: 7805 |
#8
Hm, da stimmt immer noh was nicht. deaktiviere den Teatimer, so das er beim naechsten start niht mehr aktiv ist!
Erzeuge noch eine Ordnerliste und poste sie hier. Siehe dazu: http://virus-protect.org/datfindbat.html Ein Silentrunne Report waere auch nicht schlecht: http://virus-protect.org/silentrunner.html Wie gehst du ins internet, dsl/router/Modem? __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
07.11.2005, 11:25
Member
Themenstarter Beiträge: 17 |
#9
Ich geh mit DSL über RASPPPOE DFÜ ins Netz.
"Silent Runners.vbs", revision 41, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "iamapp" = "C:\Programme\Norton Internet Security\IAMAPP.EXE" ["Symantec Corporation"] "NAV Agent" = "C:\PROGRA~1\NORTON~1\navapw32.exe" ["Symantec Corporation"] "Symantec NetDriver Monitor" = "C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer" ["Symantec Corporation"] "SSC_UserPrompt" = "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe" ["Symantec Corporation"] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "WinampAgent" = ""D:\Winamp3\winampa.exe"" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {CLSID}\InProcServer32\(Default) = "D:\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{8FF88D21-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6 Context Menu Shell Extension" -> {CLSID}\InProcServer32\(Default) = "D:\WinAce\arcext.dll" ["e-merge GmbH"] "{8FF88D25-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6 DragDrop Shell Extension" -> {CLSID}\InProcServer32\(Default) = "D:\WinAce\arcext.dll" ["e-merge GmbH"] "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6 Context Menu Shell Extension" -> {CLSID}\InProcServer32\(Default) = "D:\WinAce\arcext.dll" ["e-merge GmbH"] "{8FF88D23-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6 Property Sheet Shell Extension" -> {CLSID}\InProcServer32\(Default) = "D:\WinAce\arcext.dll" ["e-merge GmbH"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard" -> {CLSID}\InProcServer32\(Default) = "D:\ewido\security suite\shellhook.dll" ["TODO: <Firmenname>"] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {CLSID}\InProcServer32\(Default) = "D:\ewido\security suite\context.dll" ["ewido networks"] Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}" -> {CLSID}\InProcServer32\(Default) = "D:\WinAce\arcext.dll" ["e-merge GmbH"] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {CLSID}\InProcServer32\(Default) = "D:\ewido\security suite\context.dll" ["ewido networks"] ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}" -> {CLSID}\InProcServer32\(Default) = "D:\WinAce\arcext.dll" ["e-merge GmbH"] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Großmeister\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Scheduled Tasks: ------------------------ "Norton AntiVirus - Scan my computer" -> launches: "C:\PROGRA~1\NORTON~1\NAVW32.exe /task:C:\DOKUME~1\ALLUSE~1\ANWEND~1\Symantec\NORTON~1\Tasks\mycomp.sca" ["Symantec Corporation"] "Symantec NetDetect" -> launches: "C:\Programme\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\ "{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ ewido security suite control, ewido security suite control, "D:\ewido\security suite\ewidoctrl.exe" ["ewido networks"] ewido security suite guard, ewido security suite guard, "D:\ewido\security suite\ewidoguard.exe" ["ewido networks"] Norton AntiVirus Auto Protect Service, navapsvc, "C:\Programme\Norton AntiVirus\navapsvc.exe" ["Symantec Corporation"] Norton Internet Security Accounts Manager, NISUM, "C:\Programme\Norton Internet Security\NISUM.EXE" ["Symantec Corporation"] Norton Internet Security Proxy Service, SymProxySvc, "C:\Programme\Norton Internet Security\SymProxySvc.exe" ["Symantec Corporation"] Norton Internet Security Service, NISSERV, "C:\Programme\Norton Internet Security\NISSERV.EXE" ["Symantec Corporation"] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 115 seconds, including 18 seconds for message boxes) Tut mir leid, aber ich bekomm die datfindbat nicht runtergeladen, da erscheint nur ne .html und n Ordner mit lauter .gif und .jpg |
|
|
|
|
|
|
07.11.2005, 11:34
Ehrenmitglied
 Beiträge: 29434 |
#10
kleine Hilfe (vielleicht klappt es so: )
Lade die datFind.bat : oben in der Browserleiste - Datei - Seite speichern unter.... - wähle Desktop - dann erscheint eine datFind.bat auf dem Bildschirm. http://virus-protect.org/bat/datFind.bat Suche auf dem Desktop die datFind.bat doppelklick auf die bat-Datei , der Editor öffnet sich - nun kopiere zusammen mit dem Pfad ( Verzeichnis von C:\WINDOWS\system32) ca.3 Monate ab und in deinen Thread im Sicherheitsforum. das DOS-Fenster ist geöffnet, klicke "enter" nun wird sich wieder der Editor öffnen, kopiere ca. 3 Monate (ist nach Datum geordnet) ab und kopiere es in deinen Thread das ganze 4 Mal...es sind 4 Logs ------------------------------------------- wenn das fertig ist, lade Winpfind und poste auch das Log http://virus-protect.org/winpfind.html -------------------------------------------- http://www.trojaner-board.de/archive/index.php/t-23208.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
07.11.2005, 12:06
Ehrenmitglied
Beiträge: 29434 |
#11
Zitat inetnum: 85.255.112.0 - 85.255.127.255 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
07.11.2005, 12:34
Moderator
Beiträge: 7805 |
#12
Ich muss auch noch was ausschliessen, da ich den Fall gestern noh hatte. Nutze bitte rootkitrvealer, starte es druecke scan und warte, bis es seine arbeit beendet hat. Sollte es etwas gefunden haben, poste das Log bitte auch hier:
RKR= http://www.sysinternals.com/Utilities/RootkitRevealer.html __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
07.11.2005, 13:04
Member
Themenstarter Beiträge: 17 |
#13
RootKitRevealer findet nichts, hatte ich auch schon getestet ...
Zitat Außerdem habe ich noch Wareout Hidden Remover, F-Secure Backlight, TaskManager 16, Silent Runners, RootkitRevealer und CWShredder laufen lassen, aber ohne Erfolg.@Sabina sry, ich habs genauso gemacht wie beschrieben aber ... Zitat da erscheint nur ne .html und n Ordner mit lauter .gif und .jpgkeine .bat datei |
|
|
|
|
|
|
07.11.2005, 13:21
Ehrenmitglied
Beiträge: 29434 |
#14
kopiere das in den Texteditor-->
Speichern als: datfind.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop doppelklicken, dann erscheinen hintereinander 4 logs, alle abkopieren und hier posten Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
07.11.2005, 14:09
Member
Themenstarter Beiträge: 17 |
#15
o_O
kopiere WAS(die Dateien aus dem komischen Ordner?) in WELCHEN Texteditor?? da ist keiner, soll ich einen aufmachen?? |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Da ist eine Eintrag im HJT Logfile der als evtl. bösartig eingestuft wird und immer nur zu sehen ist wenn ich mich ins Inet eingeloggt habe. Sobald ich mich auslogge ist er wieder weg.(017)
Wenn ich ihn fixe bevor ich den Explorer öffne findet dieser keine Server mehr.
Ich hab dann Spybot laufen lassen und fand 3 Alexa und 1 backweb lite.
Ebenso packte Ewido 5 Einträge in Quarantäne, 3 Alexa 1TrojanDNSChanger und 1 Spyware Cookie.
Danach fand Ad-Aware nichts mehr.
eScan findet 16 viren enfernt sie aber nicht und wenn ich die MWAV datei lade taucht nur eine mp3 Datei aus einer anderen Partition auf. Wenn ich diese löschen will, gibt es die Meldung, dass nicht alle Datein gelöscht werden konnten und dies nach einem Neustart behoben werden könnte, allerdings ändert sich auch dann nichts.
Außerdem habe ich noch Wareout Hidden Remover, F-Secure Backlight, TaskManager 16, Silent Runners, RootkitRevealer und CWShredder laufen lassen, aber ohne Erfolg.
Was könnte ich nun noch tun, und warum löscht eScan die gefundenen Viren nicht? ^^
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\ewido\security suite\ewidoctrl.exe
D:\ewido\security suite\ewidoguard.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Internet Security\NISSERV.EXE
C:\Programme\Norton Internet Security\SymProxySvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton Internet Security\IAMAPP.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
D:\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\escheck\eScanCheck110.exe
E:\Toolz\HJT\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp3\winampa.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128573328116
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1130774545265
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE6424F1-4424-4EA2-83D4-A9346AAD0F8D}: NameServer = 85.255.114.11 85.255.112.150
O23 - Service: ewido security suite control - ewido networks - D:\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - D:\ewido\security suite\ewidoguard.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - C:\Programme\Norton Internet Security\NISSERV.EXE
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\SymProxySvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe