Downloader.Agent.uj, TR/Small.AA.45, TR/DropSmall.XL |
||
---|---|---|
#0
| ||
12.07.2006, 21:08
Ehrenmitglied
Beiträge: 29434 |
||
|
||
12.07.2006, 21:35
Member
Themenstarter Beiträge: 35 |
#17
Ähm... *kopfkratz*... was soll ich mit deinem Hinweis zum neuen Wareout anfangen bzw. welche der FixWareouts auf der sich öffnenden Seite soll ich benutzen...? *doofanstell*
|
|
|
||
12.07.2006, 21:47
Ehrenmitglied
Beiträge: 29434 |
#18
schau mal in meinen vorherigen Beitrag: Punkt 3, poste die textdatei
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.07.2006, 21:51
Member
Themenstarter Beiträge: 35 |
#19
Yep, bin deiner Anweisung nach bestem Gewissen gefolgt und soweit funktioniert auch alles... bis auf das Auffinden der c:\domains.txt . Weder ich noch die Suchfunktion kann die Datei ausfindig machen... Oder hängt das damit zusammen das ich zuvor nicht was aus dem in Punkt 2 genannten Link gedownloaded und angewendet hab?
Habe gerade noch einmal diverse Scanner laufen lassen: A-squared: nix ewido: jetzt auch nix AntiVir: nix Spybot: noch nie was... Bin ich jetzt etwa sauber oder gibt es noch einen "weiteren/hochwertigeren" Scanner der mir mehr Sicherheit geben kann? Nebenbei: Es taucht jetzt des öfteren auf das die Taskmanager exe fehlerhaft wäre und beendet werden müsse... Ich Danke Dir von Herzen für Deine ausdauernde, erfolgreiche Hilfe!!!!! mit leichtem Schmunzeln im Gesicht und endlich halbwegs faltenfreier Stirn... 66North Dieser Beitrag wurde am 12.07.2006 um 22:18 Uhr von 66North editiert.
|
|
|
||
13.07.2006, 02:16
Ehrenmitglied
Beiträge: 29434 |
#20
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) {3BDDC0A8-AAAD-4555-A689-A1036A3C7ECA} in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. gleiches mit: {8B802790-F165-443B-B448-26E142521424} {9C326CF7-D258-43E6-B289-58188A752047} {DEBE756C-2C47-4989-855E-0CA6FF24BD11} __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.07.2006, 03:06
Member
Themenstarter Beiträge: 35 |
#21
Moin Sabina,
hat alles wunderbar geklappt. Leider sind die Files zu groß um sie ein zu stellen, deshalb, ausser dem ersten, alles im Anhang... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 13.07.2006 02:46:56 for strings: ; '{3bddc0a8-aaad-4555-a689-a1036a3c7eca} {3bddc0a8-aaad-4555-a689-a1036a3c7eca} {3bddc0a8-aaad-4555-a689-a1036a3c7eca} {3bddc0a8-aaad-4555-a689-a1036a3c7eca} {3bddc0a8-aaad-4555-a689-a1036a3c7eca} {3bddc0a8-aaad-4555-a689-a1036a3c7eca}' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... Anhang: 2-4RegSearch.txt
|
|
|
||
13.07.2006, 13:10
Ehrenmitglied
Beiträge: 29434 |
#22
Gehe in die Registry
Start - Ausfuehren - regedit bearbeiten - suchen - {3BDDC0A8-AAAD-4555-A689-A1036A3C7ECA} zum Beispiel: [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lanmanserver\Linkage] ; \Device\NetBT_Tcpip_{3BDDC0A8-AAAD-4555-A689-A1036A3C7ECA} [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Linkage] ; \Device\{3BDDC0A8-AAAD-4555-A689-A1036A3C7ECA} loesche alles, was du findest. dann auch mit : {8B802790-F165-443B-B448-26E142521424} {9C326CF7-D258-43E6-B289-58188A752047} {DEBE756C-2C47-4989-855E-0CA6FF24BD11} ------------------------------------------------------------------------ 2. In der Netzwerkverbindung auf Netzwerk => die TC/IP-Verbindung => Einstellungen => Erweitert => DNS => dort ist dann folgende IP-Adressen verwenden aktiviert und der böse Server steht eventuell drin => abändern auf IP-Adresse automatisch beziehen. Zusätzlich noch NETbios für TCP/IP deaktivieren !! Zitat Start - Einstellungen - Systemsteuerung - Verwaltung - Computerverwaltung - und dann den Eintrag Dienste auswählenPC neustarten poste das neue log vom HijackTHis + ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren + F-Secure Online Scanner Next Generation Beta http://support.f-secure.com/enu/home/ols3.shtml 1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta". 2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren 3. Installiere diese ActiveX-Komponente 4. Lies die Anleitung und klicke: "Accept" 5. Klicke "Full System Scan" 6. klicke "Show report" - kopiere den Scanreport + Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.07.2006, 15:01
Member
Themenstarter Beiträge: 35 |
#23
Hallo Sabina, in der Registry rum zu löschen ist mir gerade etwas ungeheuer... Soll ich den ganzen jeweiligen Schlüssel löschen, oder "nur" die Suchergebnisse im RECHTEN Fenster des reg-Editors? Entschuldige wenn die Frage etwas dusselig klingt, ich will nur nix zerhauen was eigentlich bleiben soll... Muss ausserdem die Systemwiederherstellung deaktiviert werden?
Gruß, 66North |
|
|
||
13.07.2006, 16:49
Ehrenmitglied
Beiträge: 29434 |
#24
beispiel:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lanmanserver\Linkage] \Device\NetBT_Tcpip_{3BDDC0A8-AAAD-4555-A689-A1036A3C7ECA}<--LOESCHEN [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Linkage] ; \Device\{3BDDC0A8-AAAD-4555-A689-A1036A3C7ECA} <--LOESCHEN __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.07.2006, 18:54
Member
Themenstarter Beiträge: 35 |
#25
Hallo Sabina,
habe alles soweit fertig. Zu bemerken wäre das "IP-Adresse automatisch beziehen" schon aktiviert war. Die Registry ist gelöscht und mehrfach kontrolliert worden. Sollte also erledigt sein. Der NETbios für TCP/IP ist jetzt ebenfalls aktiviert. Ausserdem tauchte 2x auf das die EXPLORER.EXE beendet werden muss. Nur so der Volständigkeit halber.... Nun aber zu den Logs: neuer HJT-log: Logfile of HijackThis v1.99.1 Scan saved at 17:33:22, on 13.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\WLTRAY.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Launch Manager\LaunchAp.exe C:\Programme\Launch Manager\PowerKey.exe C:\Programme\Launch Manager\HotkeyApp.exe C:\Programme\Launch Manager\OSDCtrl.exe C:\Programme\Launch Manager\Wbutton.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe C:\Acer\eManager\anbmServ.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE C:\Programme\ewido anti-spyware 4.0\guard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe C:\WINDOWS\system32\usrbridg.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe" O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Launch Manager\PowerKey.exe" O4 - HKLM\..\Run: [LManager] "C:\Programme\Launch Manager\HotkeyApp.exe" O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Launch Manager\CtrlVol.exe" O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSDCtrl.exe" O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://157.157.46.1/activex/AxisCamControl.cab O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe O23 - Service: IrBridge User-Level Interface (USRBRIDG) - Extended Systems, Inc. - C:\WINDOWS\system32\usrbridg.exe O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe und der Report von F-Secure: Scanning Report Thursday, July 13, 2006 17:52:05 - 18:41:45 Computer name: MAIK Scanning type: Scan system for viruses, rootkits, spyware Target: C:\ D:\ -------------------------------------------------------------------------------- Result: 2 malware found Tracking Cookie (spyware) System (Disinfected) System -------------------------------------------------------------------------------- Statistics Scanned: Files: 30330 System: 4492 Not scanned: 3 Actions: Disinfected: 1 Renamed: 0 Deleted: 0 None: 1 Submitted: 0 Files not scanned: C:\PAGEFILE.SYS C:\HIBERFIL.SYS C:\WINDOWS\SYSTEM32\CONFIG\SECURITY -------------------------------------------------------------------------------- Options Scanning engines: F-Secure AVP: 6.0.171, 2006-07-13 F-Secure Libra: 2.4.1, 2006-07-12 F-Secure Blacklight: 1.0.31, 0000-00-00 F-Secure Orion: 1.2.37, 2006-07-13 F-Secure Pegasus: 1.19.0, 2006-06-05 F-Secure Draco: 1.0.35, 0259-24-212 Scanning options: Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX Use Advanced heuristics -------------------------------------------------------------------------------- Copyright © 1998-2006 Product support |Send virus sample to F-Secure F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name.This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability. Die anderen beiden Logs. sind im Anhang... Anhang: 13Zusammfsg.TXT Dieser Beitrag wurde am 13.07.2006 um 20:35 Uhr von 66North editiert.
|
|
|
||
13.07.2006, 20:56
Ehrenmitglied
Beiträge: 29434 |
#26
Zitat Der NETbios für TCP/IP ist jetzt ebenfalls aktiviertdeaktivieren ...bitte - wenn es keine Problem verursacht. dann sollte eigentlich alles wieder in Ordnung sein. Wenn es noch probleme mit dem 017-Eintrag geben sollte...melde dich, dann graben wir weiter __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.07.2006, 21:19
Member
Themenstarter Beiträge: 35 |
#27
Hammer!! HHaaaaammmmer!! Sabina, Du bist der Hammer! Puuuh... au Mann... jetzt bin ich aber sowas von glücklich...
Den NETbios für TCP/IP hatte ich bereits deaktiviert und mich schusseliger Weise verschrieben. Als ich eben aber nachschaute stand dort nach dem Hochfahren wieder aktiviert... mmmhhhh... muss man da noch mal extra irgendwo Abspeichern oder reicht rechte Maustaste anklicken und deaktiveren drücken? Wie würde ich denn bemerken, dass ich mit den O17-Einträgen noch Probleme hab? Hab alle relevanten Programme und Netzwerkverbindungen ausgetestet. Alles 1A. Soll ich all die heruntergeladenen Programme für die Trojanerjagt drauf lassen oder verschwinden lassen? Welches Anti-Viren Programm ist DEin Favorit? Sabina, takk fyrír hjälpina!!! Das war ganz grosse Klasse! Danke!!! 66North |
|
|
||
Nun ist keiner sichtbar...also, arbeite ab, was ich geschrieben hatte.
__________
MfG Sabina
rund um die PC-Sicherheit