Mein Logfile...

Thema ist geschlossen!
Thema ist geschlossen!
#0
30.12.2005, 12:41
...neu hier

Beiträge: 4
#1 Ich hatte SpySheriff auf meinem Notebook, könnt Ihr meine Logs bitte begutachten, ob irgend welche reste vorhanden sind oder nicht?
PS: Wenn meinen Rechner Boote erhalte ich manchmal ein IE error
so das dieser abstürzt...

Danke im Voraus..

Logfile of HijackThis v1.99.1
Scan saved at 12:35:19, on 30.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programme\Gemeinsame Dateien\Virtual Token\vtserver.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\IBM\Security\uvmserv.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\IBM\Messages By IBM\ibmmessages.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\Programme\IBM\Security\certtool.exe
C:\Programme\ThinkPad\ConnectUtilities\QCTRAY.EXE
C:\WINDOWS\system32\vmnat.exe
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\WINDOWS\system32\TpScrLk.exe
C:\Programme\Hummingbird\DM Extensions\papihost.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Exchsrvr\bin\exmgmt.exe
C:\Programme\ThinkPad\Bluetooth Software\BTTray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\IBM ThinkVantage\Common\Logger\logmon.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ico.exe
C:\WINDOWS\system32\FSRremoS.EXE
C:\WINDOWS\system32\Pelmiced.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Radmin\radmin.exe
C:\Programme\Hummingbird\DM Extensions\DM.exe
C:\Programme\Network Associates\VirusScan\scan32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\U930OE\Eigene Dateien\SpyWare\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.ch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.ch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.ch/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Hummingbird DM - {83E8BF99-F3C0-4475-B453-9F9E8E4548C3} - C:\Programme\Hummingbird\DM Extensions\DOCSShlToolBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [ControlCenter] "C:\Programme\ThinkVantage Fingerprint Software\ctlcntr.exe" /startup
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [ISS_Certtool] C:\Programme\IBM\Security\certtool.exe
O4 - HKLM\..\Run: [IBM_PWMGR] C:\Programme\IBM\Password Manager\pwmgr.exe
O4 - HKLM\..\Run: [QCTRAY] C:\Programme\ThinkPad\ConnectUtilities\QCTRAY.EXE
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [TPKBDLED] C:\WINDOWS\system32\TpScrLk.exe
O4 - HKLM\..\Run: [cssauthe] "C:\Programme\IBM ThinkVantage\Client Security Solution\cssauthe.exe" silent
O4 - HKLM\..\Run: [PowerDOCSAPIHost] "C:\Programme\Hummingbird\DM Extensions\papihost.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [XoftSpy] C:\Programme\XoftSpy\XoftSpy.exe -s
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: VPN Client.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {02E09B2E-2A03-4572-9291-69900C068564} (LCSim Control) - http://www.learnitcorp.com/cabs/lcsim.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {44C7F862-906C-11D3-A8ED-0008C75B3588} (IEPAPI Class) - http://c930ged/cyberdocs/DMExtensions/papibrdg.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B91AEDBE-93DF-4017-8BB3-F1C300C0EC51} - http://server01/cyberdocs/DMExtensions/deployment/setup.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = publigroupe.net
O17 - HKLM\Software\..\Telephony: DomainName = publigroupe.net
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = publigroupe.net
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: PCDOCS - {EDC110E5-4CFB-4FEE-813A-BF796297030E} - C:\Programme\Hummingbird\DM Extensions\PwDMoniker.DLL
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: browsela - C:\WINDOWS\system32\browsela.dll
O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing)
O20 - Winlogon Notify: psfus - C:\Programme\ThinkVantage Fingerprint Software\psfus.dll
O20 - Winlogon Notify: QConGina - C:\WINDOWS\SYSTEM32\QConGina.dll
O20 - Winlogon Notify: tpfnf2 - C:\WINDOWS\SYSTEM32\notifyf2.dll
O20 - Winlogon Notify: tphotkey - C:\WINDOWS\SYSTEM32\tphklock.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: IBM User Verification Manager - IBM - C:\Programme\IBM\Security\uvmserv.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Programme\Network Associates\Common Framework\FrameworkService.exe" /ServiceStart (file missing)
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - Lenovo - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TVT Backup Service - Unknown owner - C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Unknown owner - C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: Protector Suite Virtual Token (vtserver) - UPEK Inc. - C:\Programme\Gemeinsame Dateien\Virtual Token\vtserver.exe
Seitenanfang Seitenende
30.12.2005, 18:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Jahn_Hlsi

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\browsela.dll
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.12.2005, 21:13
...neu hier

Themenstarter

Beiträge: 4
#3 Hallödele

hier das ergebnis..



This is a report processed by VirusTotal on 12/30/2005 at 21:23:19 (CET) after scanning the file "hijackthis.log" file.

Antivirus Version Update Result
AntiVir 6.33.0.70 12.30.2005 no virus found
Avast 4.6.695.0 12.30.2005 no virus found
AVG 718 12.30.2005 no virus found
Avira 6.33.0.70 12.30.2005 no virus found
BitDefender 7.2 12.30.2005 no virus found
CAT-QuickHeal 8.00 12.29.2005 no virus found
ClamAV devel-20051123 12.29.2005 no virus found
DrWeb 4.33 12.30.2005 no virus found
eTrust-Iris 7.1.194.0 12.30.2005 no virus found
eTrust-Vet 12.4.1.0 12.30.2005 no virus found
Ewido 3.5 12.30.2005 no virus found
Fortinet 2.54.0.0 12.30.2005 no virus found
F-Prot 3.16c 12.30.2005 no virus found
Ikarus 0.2.59.0 12.30.2005 no virus found
Kaspersky 4.0.2.24 12.30.2005 no virus found
McAfee 4663 12.30.2005 no virus found
NOD32v2 1.1345 12.30.2005 no virus found
Norman 5.70.10 12.30.2005 no virus found
Panda 9.0.0.4 12.30.2005 no virus found
Sophos 4.01.0 12.30.2005 no virus found
Symantec 8.0 12.30.2005 no virus found
TheHacker 5.9.1.064 12.28.2005 no virus found
UNA 1.83 12.30.2005 no virus found
VBA32 3.10.5 12.30.2005 no virus found

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.

Hier ist noch das MecAfee protection Logfile..
der meldet mir immer wieder diese Trojaner an:

30.12.2005 20:17:32 Names of viruses that EXTRA.DAT can detect = None
30.12.2005 20:17:51 Move failed (Clean failed) DomainJahn\Jahn XoftSpy.exe C:\WINDOWS\alt.exe Generic AdClicker.c (Trojan)
30.12.2005 20:17:54 No Action Taken (Delete failed) DomainJahn\Jahn XoftSpy.exe C:\WINDOWS\alt.exe Generic AdClicker.c (Trojan)
30.12.2005 20:17:59 Cleaned C:\WINDOWS\alt.exe Generic AdClicker.c (Trojan)
30.12.2005 20:18:46 Deleted DomainJahn\Jahn explorer.exe C:\WINDOWS\adsldpbf.dll1 Downloader-ASC (Trojan)
30.12.2005 20:29:50 Deleted DomainJahn\Jahn explorer.exe C:\WINDOWS\alt.exe1 Generic AdClicker.c (Trojan)
30.12.2005 20:40:53 Deleted DomainJahn\Jahn explorer.exe C:\WINDOWS\adsldpbf.dll1 Downloader-ASC (Trojan)
30.12.2005 20:51:58 Deleted DomainJahn\Jahn explorer.exe C:\WINDOWS\alt.exe1 Generic AdClicker.c (Trojan)
30.12.2005 21:03:01 Deleted DomainJahn\Jahn explorer.exe C:\WINDOWS\adsldpbf.dll1 Downloader-ASC (Trojan)
Dieser Beitrag wurde am 30.12.2005 um 21:23 Uhr von Jahn_Hlsi editiert.
Seitenanfang Seitenende
30.12.2005, 23:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 was hast du gescannt ????????????

geprueft werden sollte:

C:\WINDOWS\system32\browsela.dll


Zitat

This is a report processed by VirusTotal on 12/30/2005 at 21:23:19 (CET) after scanning the file "hijackthis.log" file.

Antivirus Version Update Result
AntiVir 6.33.0.70 12.30.2005 no virus found
.........................................................................................................
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [XoftSpy] C:\Programme\XoftSpy\XoftSpy.exe -s
O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing)

pc neustarten

deinstalliere/loesche:
C:\Programme\XoftSpy
C:\WINDOWS\alt.exe
C:\WINDOWS\adsldpbf.dll

scanne mit panda und poste den scanbericht
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.12.2005, 08:33
...neu hier

Themenstarter

Beiträge: 4
#5 Sorry jetzt erst habe ich verstanden wie es gemeint wahr,
hier nun das Log des Online Panda Scan..

Incident Status Location

Adware:Adware/Miamore Not desinfected C:\WINDOWS\system32\browsela.dll
Adware:adware/alexa-toolbar Not desinfected Windows Registry
Adware:Adware/Miamore Not desinfected C:\Dokumente und Einstellungen\U930OE\zxczxc
Adware:Adware/Miamore Not desinfected C:\WINDOWS\g1965031.dll
Adware:Adware/Miamore Not desinfected C:\WINDOWS\g1975937.dll
Adware:Adware/Miamore Not desinfected C:\WINDOWS\g1976093.dll
Adware:Adware/Miamore Not desinfected C:\WINDOWS\g1978078.dll
Adware:Adware/Miamore Not desinfected C:\WINDOWS\g2051187.dll
Adware:Adware/Miamore Not desinfected C:\WINDOWS\system32\browsela.dll
Dialer;)ialer.EXV Not desinfected C:\WINDOWS\system32\dial32.exe
Virus:W32/Locksky.AC.worm Disinfected C:\WINDOWS\system32\sachostm.exe
Dieser Beitrag wurde am 31.12.2005 um 10:11 Uhr von Jahn_Hlsi editiert.
Seitenanfang Seitenende
31.12.2005, 13:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Jahn_Hlsi

öffne das HijackThis -- Button "scan" -- vor den Malware-Eintrage Häkchen setzen -- Button "Fix checked" -- PC neustarten

O20 - Winlogon Notify: browsela - C:\WINDOWS\system32\browsela.dll
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing)

PC neustarten


KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\attrib.ini
C:\WINDOWS\system32\hard.lck
C:\WINDOWS\system32\msvcrl.dll
C:\WINDOWS\system32\sachostx.exe
C:\WINDOWS\system32\sachostb.exe
C:\WINDOWS\system32\sachostc.exe
C:\WINDOWS\system32\sachostp.exe
C:\WINDOWS\system32\sachosts.exe
C:\WINDOWS\system32\sachostw.exe
C:\WINDOWS\system32\sachostm.exe

C:\WINDOWS\system32\browsela.dll
C:\Dokumente und Einstellungen\U930OE\zxczxc
C:\Dokumente und Einstellungen\U930OE
C:\WINDOWS\g1965031.dll
C:\WINDOWS\g1975937.dll
C:\WINDOWS\g1976093.dll
C:\WINDOWS\g1978078.dll
C:\WINDOWS\g2051187.dll
C:\WINDOWS\adsldpbf.dll
C:\WINDOWS\alt.exe
C:\WINDOWS\system32\dial32.exe

PC neustarten

ueberpruefe, ob geloescht ist:
C:\Dokumente und Einstellungen\U930OE

-------------------------

multiavtool
http://virus-protect.org/multiavtool.html

klicke "3" McAfee -- es erscheint ein leeres DOS-Fenster.
- man muss eingeben, was gescannt werden soll

- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

poste die drei scanreporte

scanne dann auch mit MicroTrend und Sophos ( sind auch im Tool enthalten) , ...falls was gefunden wurde, poste die scanreporte

-------------


Zitat

http://www.sophos.de/virusinfo/analyses/w32looskyc.html
W32/Loosky-C ist ein E-Mail-Wurm mit Trojaner-Funktionalität für die Windows-Plattform, der aus mehreren Komponenten besteht.

Wenn er erstmals ausgeführt wird, kopiert sich W32/Loosky-C nach Windows\sachostx.exe und erstellt die folgenden Dateien:

System\attrib.ini - virenfreie Protokolldatei
System\hard.lck - virenfreie Null-Byte-Datei
System\msvcrl.dll - tarnende Komponente, stiehlt außerdem Websitedaten
System\sachostb.exe - Backdoortrojaner-Komponente
System\sachostc.exe - TCP umleitende Komponente
System\sachostm.exe - Protokoll sendende Komponente
System\sachostp.exe - Kennwort stehlende Komponente
System\sachosts.exe - Socks-Proxykomponente
System\sachostw.exe - Haupt-E-Mail-Wurm-Komponente

W32/Loosky-C stiehlt Kennwörter und Text, der in Fenstern eingegeben wurde, sowie Website-Daten in Verbindung mit bestimmten Bankenwebsites und speichert sie in der Datei attrib.ini.


__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.01.2006, 14:33
...neu hier

Themenstarter

Beiträge: 4
#7 Hallo Sabina

Ich danke dir für die tolle unterstützung, jedoch wurde mir die sache zu gefährlich, ich habe nun mein Notebook Neu installiert.
Und nun neu NIS Installiert, ich hoffe das ich nicht bald wieder von Trojaner angesteckt werde, das problem war die Datei browsela.dll diese konnte nicht mit kill gelöscht werden.....

Gruss
jahn
Seitenanfang Seitenende