"hacked by" in der Titelleiste

#0
27.05.2008, 10:21
...neu hier

Beiträge: 7
#1 hallo

ich hab son seltsames phänomen ^^

und zwar hab ich seit kurzen in der Titelleiste im IE, wo sonst Microsoft internet explorer steht, steht dann Hacked by ... (Computername)

also z.b. wie hier sollte es ja so aussehen:

Security Forum - Microsoft Internet Explorer

steht aber:

Security Forum - Hacked by (Computername)

weiß jemand was das is und wie ichs wieder wegkrieg ????

gruß heath

p.s. hoffe ich habs so halbwegs verständlich erklärt ;)
Seitenanfang Seitenende
27.05.2008, 10:46
Moderator

Beiträge: 5694
#2 Hallo heath

Arbeite einmal folgende Punkte ab:
http://board.protecus.de/t23188.htm

Gruss Swiss
Seitenanfang Seitenende
27.05.2008, 11:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 Hallo heath
diese Seite ist nur ein Beispiel, ich brauche also von dir:
das Log von HijackThis und von Combofix
http://virus-protect.org/artikel/spyware/vbs-remove.html

dann beginnt die Reinigung ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.05.2008, 17:09
...neu hier

Beiträge: 6
#4 Hallihallo Sabina,
also dann versuche ich, über das Forum Hilfe zu bekommen. Ist ja übrigens verständlich...!
Also: ... ich schicke mal das, was mir "Hijackthis" als Logfile "ausgespuckt" hat.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:33:02, on 28.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\Medion\PowerVCR II\Agent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ACDSYS~1\ACDSee\CAMDET~1.EXE
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\Oplmsb01.exe
C:\Programme\Napster\napster.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE
C:\WINDOWS\twain_32\CIS600X\WATCH.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Silja\LOKALE~1\Temp\Rar$EX03.938\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by SILJAHOFEMEIER
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerVCR II\Agent.exe
O4 - HKLM\..\Run: [Remote_Agent] C:\Programme\Medion\PowerVCR II\RemoteAgent.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\ACDSee\CAMDET~1.EXE
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LanguageMonitor] C:\WINDOWS\system32\Oplmsb01.exe OKI B4100
O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SILJAHOFEMEIER] C:\WINDOWS\SYSTEM32\SILJAHOFEMEIER.vbs
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Duden Korrektor 3.5] C:\Programme\Duden\Duden Korrektor\DK3Tray.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SRUUninstall] "C:\WINDOWS\System32\msiexec.exe" /L*v C:\WINDOWS\TEMP\SND532unin.txt /x {6AF90EF6-F7F9-466C-99F4-1774826FBB40} /qn REBOOT=ReallySuppress (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SRUUninstall] "C:\WINDOWS\System32\msiexec.exe" /L*v C:\WINDOWS\TEMP\SND532unin.txt /x {6AF90EF6-F7F9-466C-99F4-1774826FBB40} /qn REBOOT=ReallySuppress (User 'Default user')
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\CIS600X\WATCH.exe
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {DCFEB786-C45F-4CB4-8F6B-09456B3A89BA} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.karstadt.de/
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?315
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 7998 bytes











Tja, und meine USB-Sticks sind dann wohl auch infiziert, oder? Oder hab ich da die Funktionsweise von diesem Virus oder was das ist nicht richtig verstanden?!
Seitenanfang Seitenende
28.05.2008, 21:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Hallo Sil

mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
der als zu "fixen" (löschen) empfohlen wurde) - keine anderen !!
und wähle fix checked. + starte den Rechner neu.

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by SILJAHOFEMEIER

O4 - HKLM\..\Run: [SILJAHOFEMEIER] C:\WINDOWS\SYSTEM32\SILJAHOFEMEIER.vbs

O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx

««
lade von dieser seite antivbs.zip und anwenden
http://virus-protect.org/artikel/spyware/vbs-remove.html

««
wende Cleaner an + lösche die temporären-Dateien
http://www.ccleaner.de/?protecus.de

««
wende bitte Combofix an + poste den report
http://virus-protect.org/artikel/tools/combofix.html

-------------
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.05.2008, 11:25
...neu hier

Themenstarter

Beiträge: 7
#6

Zitat

Sabina postete
Hallo heath
diese Seite ist nur ein Beispiel, ich brauche also von dir:
das Log von HijackThis und von Combofix
http://virus-protect.org/artikel/spyware/vbs-remove.html

dann beginnt die Reinigung ;)
so, hier mal der hijackthis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:24:33, on 29.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\EpsonNet\common\bin\ensrvmgr.exe
C:\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\EpsonNet\EpsonNet SOAP Server\bin\emsoaprr.exe
C:\Programme\EpsonNet\EpsonNet Web Pages Service\bin\ewpsrr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\EpsonNet\common\bin\emalmmon.exe
C:\Programme\EpsonNet\EpsonNet Information Center\bin\emntfsrv.exe
C:\Programme\EpsonNet\EpsonNet HTTP Server\bin\apache.exe
C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Programme\EpsonNet\EpsonNet HTTP Server\bin\apache.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Dokumente und Einstellungen\KraatzWeb\Eigene Dateien\BritneyFinalEdition\mirc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
c:\programme\gemeinsame dateien\installshield\updateservice\isuspm.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\agent.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by KRAATZ-WEB
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {9C134253-E8A3-4759-9F98-302B7981922E} (MaxViewer Class) - http://support.scansoft.com/pp/files/np_max_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9A43161D-6751-48F9-9223-0B53BBC1C03C}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{9A43161D-6751-48F9-9223-0B53BBC1C03C}: NameServer = 192.168.2.1
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: EpsonBidirectionalService - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EpsonNet Primitive Service (EpsonNet_Primitive_Service) - Unknown owner - C:\Programme\EpsonNet\common\bin\ensrvmgr.exe
O23 - Service: MySQL - Unknown owner - C:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: USBDeviceService - Unknown owner - C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe

--
End of file - 6730 bytes
Seitenanfang Seitenende
29.05.2008, 11:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Hallo heath

mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
der als zu "fixen" (löschen) empfohlen wurde) - keine anderen !!
und wähle fix checked. + starte den Rechner neu.

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by KRAATZ-WEB
lade von dieser seite antivbs.zip und anwenden
http://virus-protect.org/artikel/spyware/vbs-remove.html

««
wende Cleaner an + lösche die temporären-Dateien
http://www.ccleaner.de/?protecus.de

««
wende bitte Combofix an + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.05.2008, 12:31
...neu hier

Themenstarter

Beiträge: 7
#8 joa, soweit so gut, titelleiste ist wieder normal ;)

hier noch der log von combofix:

ComboFix 08-05-28.4 - KraatzWeb 2008-05-29 12:01:20.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.123 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\KraatzWeb\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NWSAPAGENT
-------\Service_NwSapAgent


((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-29 ))))))))))))))))))))))))))))))
.

2309-02-25 19:00 . 2309-02-25 19:00 3,120 --a------ C:\WINDOWS\MF_C421.lfa
2309-02-25 19:00 . 2309-02-25 19:00 3,120 --a------ C:\WINDOWS\MF_C420.lfa
2008-05-29 11:23 . 2008-05-29 11:23 <DIR> d-------- C:\Programme\Trend Micro
2008-05-06 16:07 . 2008-05-06 16:08 <DIR> d-------- C:\Programme\SimpleOCR
2008-05-06 16:07 . 2008-05-06 16:16 364 --a------ C:\WINDOWS\SoftWriting.ini
2008-04-30 14:30 . 2008-04-30 14:30 <DIR> d-------- C:\Programme\Avira

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-29 09:44 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-05-22 08:41 --------- d-----w C:\Programme\PDFCreator
2008-04-30 12:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-04-30 12:06 --------- d-----w C:\Programme\ParentsFriend8
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2007-02-20 11:12 23,336 ----a-w C:\Dokumente und Einstellungen\KraatzWeb\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_04\bin\jusched.exe" [2005-06-03 10:52 36975]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 23:50 221184]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 23:50 81920]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 11:22 155648]
"PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2004-03-09 16:54 57393]
"IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2004-03-09 17:15 40960]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EmailChecker]
--a------ 2003-07-02 18:13 40960 C:\APPS\EmailChecker\ech.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-14 01:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
--------- 2006-02-23 19:08 147456 c:\APPS\Powercinema\PCMService.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"RTHDCPL"=RTHDCPL.EXE
"DetectorApp"=C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
"Vade Retro Outlook Express"="C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" -minimize
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"ControlCenter2.0"=C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"=
"C:\\APPS\\AOL 9.0\\waol.exe"=
"C:\\APPS\\Powercinema\\PowerCinema.exe"=
"C:\\APPS\\Powercinema\\PCMService.exe"=
"C:\\xampp\\apache\\bin\\Apache.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Dokumente und Einstellungen\\KraatzWeb\\Eigene Dateien\\BritneyFinalEdition\\mirc.exe"=
"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"=
"C:\\Programme\\EpsonNet\\EpsonNet Config V1\\EpsonNet Config.exe"=
"C:\\Programme\\EpsonNet\\EpsonNet SetupManager\\IMANAGER.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"135:TCP"= 135:TCP:TCP Port 135
"5000:TCP"= 5000:TCP:TCP Port 5000
"5001:TCP"= 5001:TCP:TCP Port 5001
"5002:TCP"= 5002:TCP:TCP Port 5002
"5003:TCP"= 5003:TCP:TCP Port 5003
"5004:TCP"= 5004:TCP:TCP Port 5004
"5005:TCP"= 5005:TCP:TCP Port 5005
"5006:TCP"= 5006:TCP:TCP Port 5006
"5007:TCP"= 5007:TCP:TCP Port 5007
"5008:TCP"= 5008:TCP:TCP Port 5008
"5009:TCP"= 5009:TCP:TCP Port 5009
"5010:TCP"= 5010:TCP:TCP Port 5010
"5011:TCP"= 5011:TCP:TCP Port 5011
"5012:TCP"= 5012:TCP:TCP Port 5012
"5013:TCP"= 5013:TCP:TCP Port 5013
"5014:TCP"= 5014:TCP:TCP Port 5014
"5015:TCP"= 5015:TCP:TCP Port 5015
"5016:TCP"= 5016:TCP:TCP Port 5016
"5017:TCP"= 5017:TCP:TCP Port 5017
"5018:TCP"= 5018:TCP:TCP Port 5018
"5019:TCP"= 5019:TCP:TCP Port 5019
"5020:TCP"= 5020:TCP:TCP Port 5020

R2 EpsonNet_Primitive_Service;EpsonNet Primitive Service;C:\Programme\EpsonNet\common\bin\ensrvmgr.exe [2004-02-09 10:16]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8259b6e9-9d87-11db-843a-00038a000015}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe KRAATZ-WEB.vbs

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-29 12:11:46
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySQL]
"ImagePath"="C:\xampp\mysql\bin\mysqld-nt MySQL"
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe
C:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
C:\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\EpsonNet\EpsonNet SOAP Server\bin\emsoaprr.exe
C:\Programme\EpsonNet\EpsonNet Web Pages Service\bin\ewpsrr.exe
C:\Programme\EpsonNet\common\bin\emalmmon.exe
C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
C:\Programme\RealVNC\VNC4\winvnc4.exe
C:\Programme\EpsonNet\EpsonNet Information Center\bin\emntfsrv.exe
C:\Programme\EpsonNet\EpsonNet HTTP Server\bin\Apache.exe
C:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Programme\EpsonNet\EpsonNet HTTP Server\bin\Apache.exe
C:\Programme\MSN Messenger\usnsvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-29 12:20:49 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-29 10:20:42

14 Verzeichnis(se), 100,022,206,464 Bytes frei
17 Verzeichnis(se), 100,409,368,576 Bytes frei

156 --- E O F --- 2008-05-29 07:49:34
Seitenanfang Seitenende
29.05.2008, 12:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Hallo heath

der Virus kam mit einem verseuchten USB-Stick.
wende ihn nicht mehr an, oder formatiere ihn und mache die ganze Reinigung noch mal von Beginn

Stick formatieren:
* Die einfachste Methode benutzt das Kontextmenü des Windows Explorers: USB-Stick (Wechseldatenträger) markieren, rechte Maustaste drücken, "Formatieren" wählen. (Vollständig)

wende Flash_Disinfector an - der Stick muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln"
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

---------------------------------------------------------------------------------

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8259b6e9-9d87-11db-843a-00038a000015}]
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

PC neustarten

-------------------------------------

scanne mit dr.web im abgesicherten Modus
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.05.2008, 12:49
...neu hier

Themenstarter

Beiträge: 7
#10 hmmm....... nö

hat mir keine datei aufs desktop gesetzt
Seitenanfang Seitenende
29.05.2008, 12:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 du musst es unter desktop abspeichern, dann erscheint die txt-Datei auch ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.05.2008, 13:04
...neu hier

Themenstarter

Beiträge: 7
#12 also die log datei die er mir ausgibt aufn desktop speichern?
Seitenanfang Seitenende
29.05.2008, 13:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 ja, so ungefähr hatte ich es geschrieben ;)

««
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.05.2008, 14:00
...neu hier

Themenstarter

Beiträge: 7
#14 so, gesagt, getan ;)

und nu? fertig?
Seitenanfang Seitenende
29.05.2008, 15:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 hast du combofix noch mal angewendet (nach rüberziehen vom Script) ?
dann scanne nun mit dr. web
im abgesicherten Modus
http://virus-protect.org/cureit.html

dann sollte wieder alles i.o. sein...
und den USB-Stick nicht mehr verwenden ! (oder formatieren + die ganze Reinigung noch mal machen) ...siehe, was ich weiter oben geschrieben habe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: