Trojaner zlob bn |
||
---|---|---|
#0
| ||
25.06.2006, 19:49
Member
Beiträge: 14 |
||
|
||
25.06.2006, 22:18
Ehrenmitglied
Beiträge: 29434 |
#32
**
loesche alle C:\avenger\backup.zip ** scanne mit kaspersky - poste den scanreport http://virus-protect.org/onlinescan.html ** poste bitte das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.06.2006, 00:40
Member
Beiträge: 14 |
#33
Liebe Sabina
Das mit dem Kaspersky-Scan wird definitiv nichts :-( Habe dir den Screenprint angehängt. Tut mir leid für deine Mühe. Gute Nacht Mike Anhang: Kaspersky Error.jpg
|
|
|
||
26.06.2006, 00:44
Ehrenmitglied
Beiträge: 29434 |
#34
1.
poste bitte das neue Log vom HijackThis 2. F-Secure Online Scanner Next Generation Beta http://support.f-secure.com/enu/home/ols3.shtml 1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta". 2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren 3. Installiere diese ActiveX-Komponente 4. Lies die Anleitung und klicke: "Accept" 5. Klicke "Full System Scan" 6. klicke "Show report" - kopiere den Scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.06.2006, 18:04
Member
Beiträge: 14 |
#35
Hallo Sabina,ich bin leider erst jetzt nach hause gekommen,
hier der Bericht von hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 18:01:08, on 26.06.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\WINDOWS\system32\tcpsvcs.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\cidaemon.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\Programme\Logitech\Video\LogiTray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Picasa2\PicasaMediaDetector.exe C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE C:\Programme\Logitech\Video\FxSvr2.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe C:\PROGRA~1\Webshots\webshots.scr C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com//0seenus/saos01 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com//0seenus/saos01 O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\Programme\TVgenial\IEButtonTVGenialEBayInterface.dll O2 - BHO: (no name) - {432CAE3B-690F-4C3B-BD97-070EBDA210D5} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {C65185B1-D52B-44A9-861F-8201B50D1F37} - (no file) O3 - Toolbar: (no name) - {09C02180-3B46-4CD8-83FF-34DAF442BDEF} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe /NoDialog O4 - Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Clicktionary.lnk = C:\Programme\Cleverlearn\Clicktionary\bin\Clicktionary.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Pinnacle Scheduler.lnk = ? O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/162ded5f089fb598d417/netzip/RdxIE601_de.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) |
|
|
||
26.06.2006, 18:06
Ehrenmitglied
Beiträge: 29434 |
#36
Zitat 6. klicke "Show report" - kopiere den Scanreporthat der scan keinen scanreport ergeben ? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.06.2006, 18:12
Member
Beiträge: 14 |
#37
scanner ist noch am laufen
|
|
|
||
26.06.2006, 18:17
Ehrenmitglied
Beiträge: 29434 |
#38
yes Sir
ich schau erst heute nacht wieder nach ...wenn ICH zu Hause bin __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.06.2006, 19:40
Member
Beiträge: 14 |
#39
So ich hab nun den Scan gemacht und die 3 gefundenen Spywares gelöscht, hier der bericht:
MfG: Mike Scanning Report Monday, June 26, 2006 20:35:59 - 21:20:43 Computer name: FAM-PC-723495 Scanning type: Scan system for viruses, rootkits, spyware Target: C:\ D:\ Result: 2 malware found Tracking Cookie (spyware) * System (Disinfected) * System Statistics Scanned: * Files: 39263 * System: 5151 * Not scanned: 4 Actions: * Disinfected: 1 * Renamed: 0 * Deleted: 0 * None: 1 * Submitted: 0 Files not scanned: * C:\HIBERFIL.SYS * C:\PAGEFILE.SYS * C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT * C:\DOKUMENTE UND EINSTELLUNGEN\TOBIAS\LOKALE EINSTELLUNGEN\TEMP\HSPERFDATA_TOBIAS\2576 Options Scanning engines: * F-Secure AVP: 6.0.171, 2006-06-26 * F-Secure Libra: 2.4.1, 2006-06-22 * F-Secure Orion: 1.2.37, 2006-06-20 * F-Secure Blacklight: 1.0.31, 0000-00-00 * F-Secure Pegasus: 1.19.0, 2006-05-14 * F-Secure Draco: 1.0.35, 2006-06-16 Scanning options: * Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX * Use Advanced heuristics Dieser Beitrag wurde am 26.06.2006 um 21:54 Uhr von mike24 editiert.
|
|
|
||
26.06.2006, 23:58
Ehrenmitglied
Beiträge: 29434 |
#40
1.
öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O2 - BHO: (no name) - {432CAE3B-690F-4C3B-BD97-070EBDA210D5} - (no file)PC neustarten 2. schau, ob alle C:\avenger\backup.zip geloescht sind. dann sollte wieder alles o.k. sein __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.06.2006, 08:43
Member
Beiträge: 14 |
#41
Hallo, Sabina.
Sorry, dass gestern von mir keine Rückmeldung kam. (Ich hatte eine ganztägige Weiterbildung). Nach der Scan- und Fix-Operation mit Hijackthis sind alle von dir genannten Einträge gelöscht - bis auf den letzten (O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) ... Spielt dieser Eintrag eine wesentliche Rolle? Schon mal vielen Dank Gruss Mike |
|
|
||
28.06.2006, 10:06
Ehrenmitglied
Beiträge: 29434 |
#42
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
oder: Start-> Einstellungen- Systemsteuerung- Verwaltung- Computerverwaltung und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Remote Packet Capture Protocol v.0 (experimental)" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "Remote Packet Capture Protocol v.0 (experimental) " beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " Remote Packet Capture Protocol v.0 (experimental)" läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. ** dann fixe den 023-Eintrag noch einmal mit dem HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.06.2006, 21:14
Member
Beiträge: 14 |
#43
Herzlichen Dank für deine Hilfe, es hat geklappt
Ich war froh für eine so kompetente und geduldige Hilfe. Mit herzlichen Grüssen mike |
|
|
||
Wenn ich sehe, wie viel Arbeit du heute mit mir hattest, habe ich schon lange ein schlechtes Gewissen... Gleichzeitig bin ich so dankbar, dass sich was getan hat!!!
Hier der gewünste Panda-Bericht:
Incident Status Location
Potentially unwanted tool:application/mywebsearch Not disinfected hkey_classes_root\clsid\{147A976F-EEE1-4377-8EA7-4716E4CDD239}
Virus:W32/Gaobot.NMF.worm Not disinfected C:\avenger\backup.zip[avenger/58F519AAd01][pic831.exe]
Adware:Adware/PurityScan Not disinfected C:\avenger\backup.zip[avenger/58F519AAd01][Winstall03.exe][Cochabamba32.exe]
Adware:Adware/Maxifiles Not disinfected C:\avenger\backup.zip[avenger/58F519AAd01][Winstall03.exe][mc-110-12-0000193.exe]
Potentially unwanted tool:Application/MyWebSearch Not disinfected C:\avenger\backup.zip[avenger/file000017.dat]
Potentially unwanted tool:Application/MyWebSearch Not disinfected C:\avenger\backup.zip[avenger/file000018.dat]
Potentially unwanted tool:Application/MyWebSearch Not disinfected C:\avenger\backup.zip[avenger/file000019.dat]
Virus:W32/Gaobot.NMF.worm Not disinfected C:\avenger\backup.zip[avenger/pic831k.exe][pic831.exe]
Adware:Adware/PurityScan Not disinfected C:\avenger\backup.zip[avenger/pic831k.exe][Winstall03.exe][Cochabamba32.exe]
Adware:Adware/Maxifiles Not disinfected C:\avenger\backup.zip[avenger/pic831k.exe][Winstall03.exe][mc-110-12-0000193.exe]
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\hmg9tbhj.default\cookies.txt[as1.falkag.de/]
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@atdmt[1].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Admin\Cookies\admin@doubleclick[1].txt
edit
LG
Mike