VIRUS -> BehavesLike:Win32.ExplorerHijack |
||
|---|---|---|
| #0
| ||
|
15.04.2007, 21:38
...neu hier
Beiträge: 6 |
||
 
|
|
|
|
16.04.2007, 08:11
Member
 Beiträge: 694 |
#2
Hi,
bitte wie folgt vorgehen: Zitat http://board.protecus.de/t23188.htmChris |
|
|
|
|
|
|
16.04.2007, 19:53
...neu hier
Themenstarter Beiträge: 6 |
#3
okay,
hier meine Hijack This logfile: Logfile of HijackThis v1.99.1 Scan saved at 19:52:13, on 16.04.2007 Platform: Windows XP SP2, v.2149 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2149) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender8\vsserv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Softwin\BitDefender8\bdmcon.exe C:\Programme\Softwin\BitDefender8\bdnagent.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE D:\Mucke\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Lappi\Desktop\Hijack This\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe" O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S9A.tmp" /EF "HKLM" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "D:\Mucke\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: haufereader - (no CLSID) - (no file) O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe" /service (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) und hier der Cobo fix : "Lappi" - 07-04-16 20:01:49 Service Pack 2, v.2149 ComboFix 07-04-16.3.V - Running from: C:\Dokumente und Einstellungen\Lappi\Desktop\ ((((((((((((((((((((((((((((((( Files Created from 2007-03-16 to 2007-04-16 )))))))))))))))))))))))))))))))))) 2007-04-11 09:06 <DIR> d-------- C:\WINDOWS\Sun 2007-04-11 09:06 <DIR> d-------- C:\DOKUME~1\Lappi\ANWEND~1\Sun 2007-04-11 09:01 <DIR> d-------- C:\Programme\Java 2007-04-11 09:00 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java 2007-04-10 12:54 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\BTrieve 2007-04-10 12:53 80,896 --------- C:\WINDOWS\system32\PXTREE32.DLL 2007-04-10 12:53 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lexware 2007-04-10 12:51 <DIR> d-------- C:\Programme\Lexware 2007-04-10 12:50 <DIR> d-------- C:\DOKUME~1\Lappi\ANWEND~1\InstallShield 2007-04-10 12:46 <DIR> d-------- C:\Programme\Haufe 2007-04-10 12:46 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Haufe 2007-04-10 12:35 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Lexware (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-04-16 13:47 2120 --a------ C:\WINDOWS\mozver.dat 2007-04-11 08:37 -------- d--h----- C:\Programme\installshield installation information 2007-04-10 12:44 71994 --a------ C:\WINDOWS\system32\perfc007.dat 2007-04-10 12:44 409192 --a------ C:\WINDOWS\system32\perfh007.dat (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} C:\Programme\Java\jre1.6.0_01\bin\ssv.dll {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\"" "SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe" "BDMCon"="\"C:\\Programme\\Softwin\\BitDefender8\\bdmcon.exe\"" "BDNewsAgent"="\"C:\\Programme\\Softwin\\BitDefender8\\bdnagent.exe\"" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "EPSON Stylus DX5000 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIBVE.EXE /FU \"C:\\WINDOWS\\TEMP\\E_S9A.tmp\" /EF \"HKLM\"" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "iTunesHelper"="\"D:\\Mucke\\iTunesHelper.exe\"" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "UseDesktopIniCache"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "appinit_dlls"="sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll" HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa Authentication Packages REG_MULTI_SZ msv1_0\0\0 Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0 Notification Packages REG_MULTI_SZ scecli\0\0 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "SoundMan"="SOUNDMAN.EXE" "RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe" "DAEMON Tools-1033"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033" "CloneCDTray"="\"C:\\Programme\\SlySoft\\CloneCD\\CloneCDTray.exe\" /s" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\1-Klick-Wartung.job ******************************************************************** catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: 07-04-16 20:07:34 C:\ComboFix-quarantined-files.txt ... 07-04-16 20:07 C:\WINDOWS\system32\winlogon.exe - 21414F58BDBCD02089B8F681BE9657A4 C:\WINDOWS\system32\ws2_32.dll - CFC5F107EEB3DB8F3AABD270C3B646D5 C:\WINDOWS\system32\user32.dll - 79B9EEA5FFCC4ADAD8AE11F324766878 C:\WINDOWS\system32\dllcache\winlogon.exe - 21414F58BDBCD02089B8F681BE9657A4 C:\WINDOWS\system32\dllcache\ndis.sys - ED66E03C42A55050F368D6BDD844F11B C:\WINDOWS\system32\dllcache\ip6fw.sys - F08BAC0655F8A8BC5CF6CDDE1D49EA53 C:\WINDOWS\system32\dllcache\ws2_32.dll - CFC5F107EEB3DB8F3AABD270C3B646D5 C:\WINDOWS\system32\dllcache\user32.dll - 79B9EEA5FFCC4ADAD8AE11F324766878 C:\WINDOWS\system32\drivers\ndis.sys - ED66E03C42A55050F368D6BDD844F11B C:\WINDOWS\system32\drivers\ip6fw.sys - F08BAC0655F8A8BC5CF6CDDE1D49EA53 Dat Find bat 1: 13.04.2007 09:02 2.206 wpa.dbl 11.04.2007 09:03 4.254 jupdate-1.6.0_01-b06.log 10.04.2007 12:44 395.534 perfh009.dat 10.04.2007 12:44 59.774 perfc009.dat 10.04.2007 12:44 409.192 perfh007.dat 10.04.2007 12:44 71.994 perfc007.dat 10.04.2007 12:44 837.804 PerfStringBackup.INI 14.03.2007 02:04 139.264 javaws.exe 14.03.2007 02:04 69.632 javacpl.cpl 14.03.2007 00:31 135.168 javaw.exe 14.03.2007 00:31 135.168 java.exe 18.11.2006 16:22 61.440 sockspy.dll 25.10.2006 20:15 65.536 QuickTimeVR.qtx 25.10.2006 20:15 49.152 QuickTime.qts 19.09.2006 16:43 109.360 GEARAspi.dll 02.07.2006 13:40 1.119.800 O2CPlayer.OCX 02.07.2006 13:40 497 FeAnim.ini 02.07.2006 13:40 503 FeMakro.ini 24.06.2006 09:23 188.200 FNTCACHE.DAT Nr. 2: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 58AB-AFF1 Verzeichnis von C:\DOKUME~1\Lappi\LOKALE~1\Temp Nr.3 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 58AB-AFF1 Verzeichnis von C:\WINDOWS 16.04.2007 20:04 354.438 WindowsUpdate.log 16.04.2007 19:58 0 0.log 16.04.2007 19:58 159 wiadebug.log 16.04.2007 19:58 50 wiaservc.log 16.04.2007 19:58 2.048 bootstat.dat 16.04.2007 19:57 32.636 SchedLgU.Txt 16.04.2007 13:47 2.120 mozver.dat 14.04.2007 21:16 344.168 setupapi.log 10.04.2007 12:55 666 KB829558.log 21.03.2007 13:14 69 NeroDigital.ini 20.03.2007 13:42 518 WCOSOBA.INI 03.03.2007 18:57 189.051 setupact.log 12.02.2007 21:00 483 GEARInstall.log 12.02.2007 19:40 24.553 wmsetup.log 12.02.2007 19:40 316.640 WMSysPr9.prx 28.12.2006 18:39 1.043 win.ini 18.11.2006 16:19 0 nsreg.dat 18.11.2006 14:24 385.151 EPSTPLOG.TXT 18.11.2006 14:18 31 EPSMTL32.TXT 18.11.2006 14:16 25 CDE DX5000EFDG.ini 18.11.2006 14:15 2.226 epsswt_log.txt 02.07.2006 14:16 8.192 o2cLicStore.bin 02.07.2006 13:40 219 Directx.log 01.07.2006 08:24 7.680 Thumbs.db Nr.4: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 58AB-AFF1 Verzeichnis von C:\WINDOWS\Temp Nr.5: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 58AB-AFF1 Verzeichnis von C:\WINDOWS\Downloaded Program Files 24.06.2006 00:12 65 desktop.ini 25.07.2002 18:13 24.576 dwusplay.dll 25.07.2002 18:13 196.608 dwusplay.exe 25.07.2002 18:05 172.032 isusweb.dll 4 Datei(en) 393.281 Bytes 0 Verzeichnis(se), 3.317.256.192 Bytes frei Nr.6: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 58AB-AFF1 Verzeichnis von C:\ 16.04.2007 20:19 0 sys.txt 16.04.2007 20:19 445 down.txt 16.04.2007 20:18 117 tmp.txt 16.04.2007 20:17 5.423 system.txt 16.04.2007 20:16 133 systemtemp.txt 16.04.2007 20:15 97.303 system32.txt 16.04.2007 20:07 5.546 ComboFix.txt 16.04.2007 20:07 127 ComboFix-quarantined-files.txt 16.04.2007 19:57 301.989.888 pagefile.sys 10.04.2007 13:26 15 mandant.ini 17.02.2007 19:25 0 ASPI.LOG 24.06.2006 00:14 0 AUTOEXEC.BAT 24.06.2006 00:14 0 CONFIG.SYS 24.06.2006 00:14 0 IO.SYS 24.06.2006 00:14 0 MSDOS.SYS 24.06.2006 00:05 205 boot.ini 10.06.2004 16:18 251.184 ntldr 10.06.2004 15:55 47.564 NTDETECT.COM 18.08.2001 14:00 4.952 bootfont.bin 19 Datei(en) 302.402.902 Bytes 0 Verzeichnis(se), 3.317.252.096 Bytes frei mfg, tine Dieser Beitrag wurde am 16.04.2007 um 20:25 Uhr von Tine23 editiert.
|
|
|
|
|
|
|
17.04.2007, 11:43
Moderator
Beiträge: 7805 |
#4
Poste bitte einmal den Inhalt von C:\ComboFix-quarantined-files.txt Oeffne sie einfach mit Notepad oder aehnlichem.
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
17.04.2007, 18:17
...neu hier
Themenstarter Beiträge: 6 |
#5
hallo raman,
hier der inhalt der ComboFix-Quarantined-files.txt Code Auflistung der Ordnerpfade |
|
|
|
|
|
|
17.04.2007, 19:07
Moderator
Beiträge: 7805 |
#6
Wir haben ein kleineres Problem. Bei welcher Datei meldet BD diese infektion"BehavesLike:Win32.ExplorerHijack"?
und ich braeuchte diese Dateien: C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\ws2_32.dll C:\WINDOWS\system32\user32.dll am liebsten gepackt mit Winrar (option/erweitert/NTFS Option aktiviert) und mit einem Passwort versehen. Wenn winrar nicht geht, ist auf jedenfall ein Passwort wichtig! __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
17.04.2007, 22:28
...neu hier
Themenstarter Beiträge: 6 |
#7
Hi Raman,
die Dateien habe ich gepackt und dir an folgende Adresse zugesendet: virus@protecus.de zu deiner Frage welche Datei BD mir die infektion meldet...... komischer weise ist der Ordner weg......ja, weg.....er war mit dem Pfad versehn: C:\windows\system32\ ??? (ordner Name ist mir nicht nmehr bekannt, hatte einen Zahlenkombination) -aufjedenfall wird mir der Orner nicht mehr angezeigt.....war schon in dem Ordner drin (bevor ich mich an diese Forum gewandt habe) , jedoch waren dort keine dateien vorhanden, und der Ordner ließ sich auch nicht löschen.......dann habe ich mich an euch gewandt.... so, in dem fenster von BD wird mir unter dem Reiter "Quarantäne" folgendes angezeigt: Dateiname: Mmrtkrnl.723 Name des Virus: Nein Verdacht: BehavesLike:Win32.ExplorerHijack Gesendet: Ja (das ganze wird 2 mal angezeigt) mfg, Tine |
|
|
|
|
|
|
17.04.2007, 23:28
Moderator
Beiträge: 7805 |
#8
Also die Dateien waren Orginal und nicht modifiziert. Sollte BD nun nichts mehr melden, aktualisiere dein Windows bitte ueber www.windowsupdate.com
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
da ich nicht so sehr viel Ahnung von Computern habe, muss ich mich an euch wenden, ich habe 2.Probleme,
1. auf meinem Laptop wurde ein Virus gefunden namens:BehavesLike:Win32.ExplorerHijack
Bitdefender hat ihn entdeckt, konnte ihn jedoch nicht Löschen und leider weiß ich nun auch nicht mehr weiter, könnte mir evtl. einer von euch helfen.
das 2.te Problem hat mit mit meinem Home-Pc zu, welches ich dann gerne Später (wenn mein Laptop wieder sauber ist ) posten möchte.
thx im voraus, Tine