Kennt jemand den Virus W32/Jeefo-AThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
19.01.2004, 10:36
Member
Beiträge: 133 |
||
|
||
06.02.2004, 00:57
...neu hier
Beiträge: 2 |
#32
Hm, nachdem ich das Teil bei mir mit Jeefogui entfernt habe und der Scanner nichts mehr findet, gibt es trotzdem noch ein paar Seltsamkeiten:
Start>Suchen öffnet sich nicht mehr, wenn ich eine Weile im Netz war (nach Neustart funktioniert es dann wieder), einige Ausführungen in der Systemsteuerung reagieren überhaupt nicht (geplante Tasks, Ordneroptionen, Schriftarten, Verwaltung), auch nicht nach Neustart. Kann es sein, daß Jeefo einige EXE unreparabel zerstört hat? System: Win 2k Falls es der Wahrheitsfindung dient, hier für die Cracks unter euch das Chinesisch, was mein Logger findet: Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\Ati2evxx.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\WINNT\SOUNDMAN.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Winamp3\winampa.exe C:\PROGRA~1\Dialer\dc.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINNT\System32\internat.exe C:\callerID\callerid.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Corel\Graphics8\Programs\MFIndexer.exe C:\Programme\FRITZ!\FriFax32.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\WinZip\WZQKPICK.EXE D:\temp\stinger.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Hijack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://81.211.105.43/search.php?v=5 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://81.211.105.43/index.php?v=5 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/advanced_search?hl=de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [Dialer Control] C:\PROGRA~1\Dialer\dc.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [CallerID] C:\callerID\callerid.exe O4 - Startup: rose - Doorkeeper.lnk = C:\rose\Rosebud.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/22c49ec04704e0f97a20/netzip/RdxIE601_de.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/dj/qdiagh.cab?306 O17 - HKLM\System\CCS\Services\Tcpip\..\{133798BD-3997-4583-AAA4-9A1CB3349C40}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{67638750-52E7-4AC0-90FA-37AF6E31170F}: NameServer = 145.253.2.203 145.253.2.81 Gruß, Voodoo Dieser Beitrag wurde am 06.02.2004 um 01:00 Uhr von voodoo editiert.
|
|
|
||
06.02.2004, 09:54
Member
Beiträge: 1095 |
#33
Hi voodoo
Fixe bitte das 1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://81.211.105.43/search.php?v=5 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://81.211.105.43/index.php?v=5 O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/22c49ec04704e0f97a20/netzip/RdxIE601_de.cab Das kann raus, muß aber nicht O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot Laut http://securityresponse.symantec.com/avcenter/venc/data/w32.jeefo.html ändert der Jeefo keine Dateien. Er trägt sich nur in die Registry ein und öffnet ein Hintertürchen. Also alles Fixen dann neustart und mit aktualisiertem Virenscanner im Safe Mode solange scannen bis nichts mehr gefunden wird. __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
06.02.2004, 10:05
Member
Beiträge: 213 |
#34
Nachdem du die Anweisungen von paff ausgeführt hast, biit zur Sicherheit dieses Program laufen lassen: http://www.merijn.org/files/CWShredder.exe
Die R1's weisen auf ein CWS Domain Gruß, __________ http://www.pieter-arntz.info/wordpressblog/ |
|
|
||
18.02.2004, 19:41
...neu hier
Beiträge: 3 |
#35
Hi!
Hab seit neuestem auch diesen Virus! Hab alles mögliche was hier erwähnt wird versucht! Der Virus wollte aber net runter, also hab ich formatiert! Aber ich hab so ein Gefühl das des Teil immer noch drauf is! Es laufen nämlich 4 svchost.exe oder so! Die man nicht beenden kann! Kann mir geholfen werden??? Thx scho mal im Voraus |
|
|
||
18.02.2004, 21:20
Member
Beiträge: 1095 |
#36
@saxgod
Die Datei svchost.exe ist eine ganz normale Windowsdatei. Auch das Sie mehrmals gestartet wird ist ganz normal. Einfach das hier mal machen und dann HiJackThis Logfile hier posten http://board.protecus.de/t9373.htm&mode=thread&order=0 Wenn manche Links nicht fuzen dann diese benutzen Hier ein Link für HiJackThis http://www.chip.de/downloads/c_downloads_11353576.html Für CWS Shredder http://www.chip.de/downloads/c_downloads_11353799.html __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 18.02.2004 um 21:24 Uhr von paff editiert.
|
|
|
||
20.02.2004, 15:21
...neu hier
Beiträge: 3 |
#37
So also hier die Ergebnisse von HijackThis:
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\CTsvcCDA.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Winamp\winampa.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\PROGRA~1\INTERN~2\IDMan.exe C:\Programme\Creative\PlayCenter2\CTNMRUN.EXE C:\Programme\Sophos SWEEP for NT\ICMON.EXE C:\Programme\WinBar\WinBar.exe C:\Programme\Creative\PlayCenter2\CTPLAY2.EXE C:\Programme\Creative\Media Manager\DBServer.exe C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe C:\Programme\SlimBrowser\sbrowser.exe C:\Programme\Trillian\trillian.exe C:\Programme\E m u l e\E m u l e.exe C:\Dokumente und Einstellungen\Family\Eigene Dateien\Downloads\Programs\hjt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bnetwork.de/wbb2 O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [IDMan] C:\PROGRA~1\INTERN~2\IDMan.exe /onboot O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe" O4 - HKCU\..\Run: [NOMAD Detector] "C:\Programme\Creative\PlayCenter2\CTNMRUN.EXE" O4 - Startup: WinBar.lnk = C:\Programme\WinBar\WinBar.exe O4 - Global Startup: DT 11Mbps WLAN USB Station.lnk = C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE O8 - Extra context menu item: Download All Links with IDM - C:\PROGRA~1\INTERN~2\IEGetAll.htm O8 - Extra context menu item: Download with IDM - C:\PROGRA~1\INTERN~2\IEExt.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Preispiraten 2.02 (HKLM) O9 - Extra button: Recherchieren (HKLM) O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38035.2393634259 O17 - HKLM\System\CCS\Services\Tcpip\..\{69BA4833-798F-4B04-8657-F82646D0699C}: NameServer = 195.71.240.100 193.189.244.205 |
|
|
||
20.02.2004, 16:42
Member
Beiträge: 133 |
#38
hi saxgod
sieht gut aus,da ist nichts bösartiges drauf MfG aryn __________ Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE) |
|
|
||
20.02.2004, 20:56
...neu hier
Beiträge: 3 |
#39
Sehr gut! Dann bast ja wieder alles!
|
|
|
||
24.02.2004, 06:26
...neu hier
Beiträge: 1 |
#40
hilfe...
alles fing so an:ich hab mir ne ,,computerbild 5/04" gestern gekauft.da ist shareware von videobearbeitungsprogrammen drin. doch auf der cd war auch nen ,,antivir"-programm drauf.ich habs nur aus neugierde installiert und ploetzlich hoert das programm gar nicht mehr auf zu piepen...virenbefall en mass und zwar alle mit jeefo windows32.das programm hat mir angeboten die datein zu reinigen aber ich hab zu viel angst das mein pc abschmiert...der ist naemlich vollbepackt mit filmen und videos jeglicher art 320GB(in Worten: dreihundertzwanzig Gigabyte)!!!es hat so lange gedauert das alles zusammen zu suchen...bitte helft mir...ist der virus schlimm???werden meine daten alle geloescht wenn ich sie bereinige???ich bin am boden...ich will nich mehr...Schei... hacker die im keller sitzen ohne freunde... |
|
|
||
16.05.2004, 17:37
...neu hier
Beiträge: 1 |
#41
Ich hab ja schon nen neuen Thread aufgemacht, bitte Postet am besten da eine Art fazit rein. Ich kenn mich überhauptnicht mit dem ganzen Kram wie Hijack (?) aus und hab w32.jeefo. Helft mir Bitte, ich weiß einfach nicht, was ich tun soll! Bitte ! Muss ich die Dateien Löschen oder wie kann ich infizierte dateien reparieren ?
http://www.sophos.com/support/disinfection/jeefoa.html Jo, damit brutzelt man den Virus !!! __________ Geht doch mal auf meine Seite (www.beetz.tk) und in das Actionn Forum, wo ich Mod bin. ( www.actionn-forum.tk ) Dieser Beitrag wurde am 19.05.2004 um 12:52 Uhr von Beetz editiert.
|
|
|
||
27.06.2004, 18:20
...neu hier
Beiträge: 4 |
#42
also dieser virus regt mich auf
bis jetzt war mir jeder egal weil die meisten mehr oder weniger schnell entfernt werden können/konnten aber 1. findet mein antivir den virus nicht sondern meldet immer nur wenn er exen infiziert 2. hat antivir ca. 300 exen gelöscht die infiziert waren... mein hijackthis log was ist da gefährlich und ist eine der svchost jeefo-a? Logfile of HijackThis v1.97.7 Scan saved at 18:16:45, on 27.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\SCVHOST16.exe D:\Programme\AVPersonal\AVGUARD.EXE D:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wpabaln.exe D:\Programme\AVPersonal\AVWIN.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE E:\Backup\programme\jeefogui.com D:\Programme\ICQ\Icq.exe C:\Dokumente und Einstellungen\chrissy\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe C:\Dokumente und Einstellungen\chrissy\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Microsoft Update] SCVHOST16.exe O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load O4 - HKLM\..\Run: [0utlook Express] momfe.exe O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [Microsoft Update] SCVHOST16.exe O4 - HKLM\..\RunServices: [0utlook Express] momfe.exe O4 - HKLM\..\RunServices: [Microsoft DirectX] PDSched.exe O4 - HKCU\..\Run: [Microsoft Update] SCVHOST16.exe O4 - HKCU\..\Run: [0utlook Express] momfe.exe O4 - HKCU\..\Run: [Microsoft DirectX] PDSched.exe O4 - HKCU\..\RunServices: [0utlook Express] momfe.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38165.297962963 |
|
|
||
27.06.2004, 22:20
Ehrenmitglied
Beiträge: 29434 |
#43
@burgis
Deinstalliere den Antivirus...er ist zerstoert Deaktiviere die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Fixe O4 - HKLM\..\Run: [Microsoft Update] SCVHOST16.exe O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load O4 - HKLM\..\Run: [0utlook Express] momfe.exe O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe O4 - HKLM\..\RunServices: [Microsoft Update] SCVHOST16.exe O4 - HKLM\..\RunServices: [0utlook Express] momfe.exe O4 - HKLM\..\RunServices: [Microsoft DirectX] PDSched.exe O4 - HKCU\..\Run: [Microsoft Update] SCVHOST16.exe O4 - HKCU\..\Run: [0utlook Express] momfe.exe O4 - HKCU\..\Run: [Microsoft DirectX] PDSched.exe O4 - HKCU\..\RunServices: [0utlook Express] momfe.exe neustarten Lade Antivirus neu, gehe in den abgesicherten Modus...F8 beim Hochfahren druecken undd scanne<alle Dateien< einstellen http://www.free-av.de/ #suche alle 04-Eintraege in der Registry und loesche auf der rechten Seite die Eintraege Start<Ausfuehren<regedit HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runservices HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Runservices #loesche alle 04-Eintrage unter Windows momfe.exe PDSched.exe SCVHOST16.exe C:\WINDOWS\System32\bridge.dll normal neustarten #Lade escan (mwav.exe) und scanne <alle Dateien< http://www.mwti.net/antivirus/free_utilities.asp #Lade a2 free http://www.emsisoft.de/de/software/free/ #Lade eine Firewall Sygate free http://smb.sygate.com/products/spf_standard.htm Dann poste das Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.06.2004 um 22:32 Uhr von Sabina editiert.
|
|
|
||
03.07.2004, 14:48
...neu hier
Beiträge: 3 |
#44
Hi. Ich hab leider auch den Virus. Hab mit den Tools schon alle Datein desinfiziert bzw. gelöscht. Sowie den Dienst "PowerManager" deaktivert.
Hab mal hier das Log-File. wäre schön wenn sich einer das mal ansieht und mir sagt was noch nich stimmt. Bei mir kommen z.Bsp auch ständig popup-fenster. Logfile of HijackThis v1.98.0 Scan saved at 14:43:22, on 03.07.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Winamp\Winampa.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\WINNT\system32\internat.exe C:\WINNT\system32\rundll32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\msbb.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.578\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINNT\twaintec.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {35891956-E438-74CE-D952-6D550ED02C1E} - C:\WINNT\system32\wwv.dll O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINNT\2_0_1browserhelper2.dll O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINNT\Downloaded Program Files\bridge.dll O2 - BHO: ICOO Loader BHO - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - C:\WINNT\msopt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINNT\Downloaded Program Files\bridge.dll",Load O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - HKCU\..\Run: [Aureon 5.1 Fun Mixer] C:\WINNT\System32\Aureon 5.1 Fun Mixer.exe /minimize O4 - HKCU\..\Run: [Cutc] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\msor.exe O4 - HKCU\..\Run: [Fwclh] C:\WINNT\system32\tlffpbkg.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/2000XP/CDTInc/bridge.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{511842E7-7213-479D-87B3-6F7B94F91914}: NameServer = 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{511842E7-7213-479D-87B3-6F7B94F91914}: NameServer = 194.25.2.129 O17 - HKLM\System\CS2\Services\Tcpip\..\{511842E7-7213-479D-87B3-6F7B94F91914}: NameServer = 194.25.2.129 O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll |
|
|
||
03.07.2004, 15:22
Ehrenmitglied
Beiträge: 29434 |
#45
Sandra6
Fixe mit dem HijackThis: O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINNT\twaintec.dll O2 - BHO: (no name) - {35891956-E438-74CE-D952-6D550ED02C1E} - C:\WINNT\system32\wwv.dll O2 - BHO: ICOO Loader BHO - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - C:\WINNT\msopt.dll O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINNT\Downloaded Program Files\bridge.dll",Load O4 - HKCU\..\Run: [Cutc] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\msor.exe O4 - HKCU\..\Run: [Fwclh] C:\WINNT\system32\tlffpbkg.exe O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/2000XP/CDTInc/bridge.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll das ist nicht <bad<, kann aber bis zur naechsten Benutzung raus aus dem StartUp O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook NEUSTARTEN deinstalliere den Antivir und lade neu...so dass der Guard unter 04 im StartUp erscheint. http://www.free-av.de/ ###Gehe in den abgesicherten Modus...F8 beim Hochfahren vom Computer druecken und scanne mit diesen Einstellungen mit dem Antivirus: Antivirus-Einstellungen : Automatischen Scan stoppen, Internetupdate von Antivir starten, Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch) Geh in den abgesicherten Modus...F8 druecken, wenn der Computer hochfaehrt. #Scanne mit dem Antivirus normal neustarten #Lade mwav.exe...30 Tage free und scanne. http://www.mwti.net/antivirus/free_utilities.asp muss auf jeden fall der virenscanner im ordner "bases" angelegt werden und die datei kavupd.exe aufrufen. Denn dann bekommt man die aktuellen virusdateien. #Lade AdAware free..update und scanne http://www.lavasoft.de/ #Loesche die TemporaryInternetFiles unter< Internetoptionen< und stelle eine neue Startseite ein. #Lade Sygate free...Firewall, falls du noch keinen hast. http://smb.sygate.com/products/spf_standard.htm Tipp: Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess. Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten. Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren.....Sicherheitsrisiko !!!!!! Start<Systemsteuerung<Verwaltung<Dienste .................................................................................................. Dann poste das Log mit einer Startseite im IE noch mal. MfG Sabina http://www.kephyr.com/spywarescanner/library/msopt/index.phtml __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 03.07.2004 um 15:29 Uhr von Sabina editiert.
|
|
|
||
MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)