Kennt jemand den Virus W32/Jeefo-A

Thema ist geschlossen!
Thema ist geschlossen!
#0
19.01.2004, 10:36
Member

Beiträge: 133
#31 ja löschen, Highjackthis posten und schauen welche Prozesse bei dir am laufen sind.

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)
Seitenanfang Seitenende
06.02.2004, 00:57
...neu hier

Beiträge: 2
#32 Hm, nachdem ich das Teil bei mir mit Jeefogui entfernt habe und der Scanner nichts mehr findet, gibt es trotzdem noch ein paar Seltsamkeiten:
Start>Suchen öffnet sich nicht mehr, wenn ich eine Weile im Netz war (nach Neustart funktioniert es dann wieder), einige Ausführungen in der Systemsteuerung reagieren überhaupt nicht (geplante Tasks, Ordneroptionen, Schriftarten, Verwaltung), auch nicht nach Neustart. Kann es sein, daß Jeefo einige EXE unreparabel zerstört hat?
System: Win 2k

Falls es der Wahrheitsfindung dient, hier für die Cracks unter euch das Chinesisch, was mein Logger findet:

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Winamp3\winampa.exe
C:\PROGRA~1\Dialer\dc.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\System32\internat.exe
C:\callerID\callerid.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\WinZip\WZQKPICK.EXE
D:\temp\stinger.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://81.211.105.43/search.php?v=5
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://81.211.105.43/index.php?v=5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/advanced_search?hl=de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Dialer Control] C:\PROGRA~1\Dialer\dc.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [CallerID] C:\callerID\callerid.exe
O4 - Startup: rose - Doorkeeper.lnk = C:\rose\Rosebud.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/22c49ec04704e0f97a20/netzip/RdxIE601_de.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/dj/qdiagh.cab?306
O17 - HKLM\System\CCS\Services\Tcpip\..\{133798BD-3997-4583-AAA4-9A1CB3349C40}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{67638750-52E7-4AC0-90FA-37AF6E31170F}: NameServer = 145.253.2.203 145.253.2.81

Gruß, Voodoo
Dieser Beitrag wurde am 06.02.2004 um 01:00 Uhr von voodoo editiert.
Seitenanfang Seitenende
06.02.2004, 09:54
Member

Beiträge: 1095
#33 Hi voodoo

Fixe bitte das
1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://81.211.105.43/search.php?v=5
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://81.211.105.43/index.php?v=5
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/22c49ec04704e0f97a20/netzip/RdxIE601_de.cab


Das kann raus, muß aber nicht
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot


Laut
http://securityresponse.symantec.com/avcenter/venc/data/w32.jeefo.html
ändert der Jeefo keine Dateien. Er trägt sich nur in die Registry ein und öffnet ein Hintertürchen.
Also alles Fixen dann neustart und mit aktualisiertem Virenscanner im Safe Mode solange scannen bis nichts mehr gefunden wird.
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
06.02.2004, 10:05
Member

Beiträge: 213
#34 Nachdem du die Anweisungen von paff ausgeführt hast, biit zur Sicherheit dieses Program laufen lassen: http://www.merijn.org/files/CWShredder.exe
Die R1's weisen auf ein CWS Domain

Gruß,
__________
http://www.pieter-arntz.info/wordpressblog/
Seitenanfang Seitenende
18.02.2004, 19:41
...neu hier

Beiträge: 3
#35 Hi!
Hab seit neuestem auch diesen Virus! Hab alles mögliche was hier erwähnt wird versucht! Der Virus wollte aber net runter, also hab ich formatiert! Aber ich hab so ein Gefühl das des Teil immer noch drauf is! Es laufen nämlich 4 svchost.exe oder so! Die man nicht beenden kann! Kann mir geholfen werden??? Thx scho mal im Voraus
Seitenanfang Seitenende
18.02.2004, 21:20
Member

Beiträge: 1095
#36 @saxgod

Die Datei svchost.exe ist eine ganz normale Windowsdatei. Auch das Sie mehrmals gestartet wird ist ganz normal.

Einfach das hier mal machen und dann HiJackThis Logfile hier posten
http://board.protecus.de/t9373.htm&mode=thread&order=0

Wenn manche Links nicht fuzen dann diese benutzen
Hier ein Link für HiJackThis
http://www.chip.de/downloads/c_downloads_11353576.html

Für CWS Shredder
http://www.chip.de/downloads/c_downloads_11353799.html
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 18.02.2004 um 21:24 Uhr von paff editiert.
Seitenanfang Seitenende
20.02.2004, 15:21
...neu hier

Beiträge: 3
#37 So also hier die Ergebnisse von HijackThis:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\INTERN~2\IDMan.exe
C:\Programme\Creative\PlayCenter2\CTNMRUN.EXE
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\WinBar\WinBar.exe
C:\Programme\Creative\PlayCenter2\CTPLAY2.EXE
C:\Programme\Creative\Media Manager\DBServer.exe
C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
C:\Programme\SlimBrowser\sbrowser.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\E m u l e\E m u l e.exe
C:\Dokumente und Einstellungen\Family\Eigene Dateien\Downloads\Programs\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bnetwork.de/wbb2
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [IDMan] C:\PROGRA~1\INTERN~2\IDMan.exe /onboot
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [NOMAD Detector] "C:\Programme\Creative\PlayCenter2\CTNMRUN.EXE"
O4 - Startup: WinBar.lnk = C:\Programme\WinBar\WinBar.exe
O4 - Global Startup: DT 11Mbps WLAN USB Station.lnk = C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O8 - Extra context menu item: Download All Links with IDM - C:\PROGRA~1\INTERN~2\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\PROGRA~1\INTERN~2\IEExt.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Preispiraten 2.02 (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38035.2393634259
O17 - HKLM\System\CCS\Services\Tcpip\..\{69BA4833-798F-4B04-8657-F82646D0699C}: NameServer = 195.71.240.100 193.189.244.205
Seitenanfang Seitenende
20.02.2004, 16:42
Member

Beiträge: 133
#38 hi saxgod

sieht gut aus,da ist nichts bösartiges drauf ;)

MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)
Seitenanfang Seitenende
20.02.2004, 20:56
...neu hier

Beiträge: 3
#39 Sehr gut! Dann bast ja wieder alles!
Seitenanfang Seitenende
24.02.2004, 06:26
...neu hier

Beiträge: 1
#40 hilfe...
alles fing so an:ich hab mir ne ,,computerbild 5/04" gestern gekauft.da ist shareware von videobearbeitungsprogrammen drin.
doch auf der cd war auch nen ,,antivir"-programm drauf.ich habs nur aus neugierde installiert und ploetzlich hoert das programm gar nicht mehr auf zu piepen...virenbefall en mass und zwar alle mit jeefo windows32.das programm hat mir angeboten die datein zu reinigen aber ich hab zu viel angst das mein pc abschmiert...der ist naemlich vollbepackt mit filmen und videos jeglicher art 320GB(in Worten: dreihundertzwanzig Gigabyte)!!!es hat so lange gedauert das alles zusammen zu suchen...bitte helft mir...ist der virus schlimm???werden meine daten alle geloescht wenn ich sie bereinige???ich bin am boden...ich will nich mehr...Schei... hacker die im keller sitzen ohne freunde...
Seitenanfang Seitenende
16.05.2004, 17:37
...neu hier

Beiträge: 1
#41 Ich hab ja schon nen neuen Thread aufgemacht, bitte Postet am besten da eine Art fazit rein. Ich kenn mich überhauptnicht mit dem ganzen Kram wie Hijack (?) aus und hab w32.jeefo. Helft mir Bitte, ich weiß einfach nicht, was ich tun soll! Bitte ! Muss ich die Dateien Löschen oder wie kann ich infizierte dateien reparieren ?
http://www.sophos.com/support/disinfection/jeefoa.html

Jo, damit brutzelt man den Virus !!!
__________
Geht doch mal auf meine Seite (www.beetz.tk) und in das Actionn Forum, wo ich Mod bin. ( www.actionn-forum.tk )
Dieser Beitrag wurde am 19.05.2004 um 12:52 Uhr von Beetz editiert.
Seitenanfang Seitenende
27.06.2004, 18:20
...neu hier

Beiträge: 4
#42 also dieser virus regt mich auf

bis jetzt war mir jeder egal weil die meisten mehr oder weniger schnell entfernt
werden können/konnten

aber 1. findet mein antivir den virus nicht sondern meldet immer nur wenn er exen infiziert

2. hat antivir ca. 300 exen gelöscht die infiziert waren...

mein hijackthis log
was ist da gefährlich und ist eine der svchost jeefo-a?

Logfile of HijackThis v1.97.7
Scan saved at 18:16:45, on 27.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\SCVHOST16.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wpabaln.exe
D:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Backup\programme\jeefogui.com
D:\Programme\ICQ\Icq.exe
C:\Dokumente und Einstellungen\chrissy\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\Dokumente und Einstellungen\chrissy\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Microsoft Update] SCVHOST16.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load
O4 - HKLM\..\Run: [0utlook Express] momfe.exe
O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Microsoft Update] SCVHOST16.exe
O4 - HKLM\..\RunServices: [0utlook Express] momfe.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] PDSched.exe
O4 - HKCU\..\Run: [Microsoft Update] SCVHOST16.exe
O4 - HKCU\..\Run: [0utlook Express] momfe.exe
O4 - HKCU\..\Run: [Microsoft DirectX] PDSched.exe
O4 - HKCU\..\RunServices: [0utlook Express] momfe.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38165.297962963
Seitenanfang Seitenende
27.06.2004, 22:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#43 @burgis

Deinstalliere den Antivirus...er ist zerstoert
Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924


Fixe

O4 - HKLM\..\Run: [Microsoft Update] SCVHOST16.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load
O4 - HKLM\..\Run: [0utlook Express] momfe.exe
O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe
O4 - HKLM\..\RunServices: [Microsoft Update] SCVHOST16.exe
O4 - HKLM\..\RunServices: [0utlook Express] momfe.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] PDSched.exe
O4 - HKCU\..\Run: [Microsoft Update] SCVHOST16.exe
O4 - HKCU\..\Run: [0utlook Express] momfe.exe
O4 - HKCU\..\Run: [Microsoft DirectX] PDSched.exe
O4 - HKCU\..\RunServices: [0utlook Express] momfe.exe

neustarten

Lade Antivirus neu, gehe in den abgesicherten Modus...F8 beim Hochfahren druecken undd scanne<alle Dateien< einstellen
http://www.free-av.de/


#suche alle 04-Eintraege in der Registry und loesche auf der rechten Seite die Eintraege
Start<Ausfuehren<regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runservices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Runservices


#loesche alle 04-Eintrage unter Windows
momfe.exe
PDSched.exe
SCVHOST16.exe
C:\WINDOWS\System32\bridge.dll


normal neustarten


#Lade escan (mwav.exe) und scanne <alle Dateien<
http://www.mwti.net/antivirus/free_utilities.asp

#Lade a2 free
http://www.emsisoft.de/de/software/free/

#Lade eine Firewall
Sygate free
http://smb.sygate.com/products/spf_standard.htm

Dann poste das Log noch einmal.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 27.06.2004 um 22:32 Uhr von Sabina editiert.
Seitenanfang Seitenende
03.07.2004, 14:48
...neu hier

Beiträge: 3
#44 Hi. Ich hab leider auch den Virus. Hab mit den Tools schon alle Datein desinfiziert bzw. gelöscht. Sowie den Dienst "PowerManager" deaktivert.

Hab mal hier das Log-File. wäre schön wenn sich einer das mal ansieht und mir sagt was noch nich stimmt.
Bei mir kommen z.Bsp auch ständig popup-fenster.

Logfile of HijackThis v1.98.0
Scan saved at 14:43:22, on 03.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\msbb.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.578\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINNT\twaintec.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {35891956-E438-74CE-D952-6D550ED02C1E} - C:\WINNT\system32\wwv.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINNT\2_0_1browserhelper2.dll
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINNT\Downloaded Program Files\bridge.dll
O2 - BHO: ICOO Loader BHO - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - C:\WINNT\msopt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINNT\Downloaded Program Files\bridge.dll",Load
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Aureon 5.1 Fun Mixer] C:\WINNT\System32\Aureon 5.1 Fun Mixer.exe /minimize
O4 - HKCU\..\Run: [Cutc] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\msor.exe
O4 - HKCU\..\Run: [Fwclh] C:\WINNT\system32\tlffpbkg.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/2000XP/CDTInc/bridge.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{511842E7-7213-479D-87B3-6F7B94F91914}: NameServer = 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{511842E7-7213-479D-87B3-6F7B94F91914}: NameServer = 194.25.2.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{511842E7-7213-479D-87B3-6F7B94F91914}: NameServer = 194.25.2.129
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll
Seitenanfang Seitenende
03.07.2004, 15:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#45 Sandra6

Fixe mit dem HijackThis:

O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINNT\twaintec.dll
O2 - BHO: (no name) - {35891956-E438-74CE-D952-6D550ED02C1E} - C:\WINNT\system32\wwv.dll
O2 - BHO: ICOO Loader BHO - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - C:\WINNT\msopt.dll

O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINNT\Downloaded Program Files\bridge.dll",Load
O4 - HKCU\..\Run: [Cutc] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\msor.exe
O4 - HKCU\..\Run: [Fwclh] C:\WINNT\system32\tlffpbkg.exe
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/2000XP/CDTInc/bridge.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll


das ist nicht <bad<, kann aber bis zur naechsten Benutzung raus aus dem StartUp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook


NEUSTARTEN


deinstalliere den Antivir und lade neu...so dass der Guard unter 04 im StartUp erscheint.
http://www.free-av.de/

###Gehe in den abgesicherten Modus...F8 beim Hochfahren vom Computer druecken
und scanne mit diesen Einstellungen mit dem Antivirus:

Antivirus-Einstellungen :
Automatischen Scan stoppen,
Internetupdate von Antivir starten,
Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)


Geh in den abgesicherten Modus...F8 druecken, wenn der Computer hochfaehrt.

#Scanne mit dem Antivirus

normal neustarten


#Lade mwav.exe...30 Tage free und scanne.
http://www.mwti.net/antivirus/free_utilities.asp muss auf jeden fall der virenscanner im ordner "bases" angelegt werden und die datei kavupd.exe aufrufen. Denn dann bekommt man die aktuellen virusdateien.

#Lade AdAware free..update und scanne
http://www.lavasoft.de/


#Loesche die TemporaryInternetFiles unter< Internetoptionen< und stelle eine neue Startseite ein.

#Lade Sygate free...Firewall, falls du noch keinen hast.
http://smb.sygate.com/products/spf_standard.htm


Tipp:
Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren.....Sicherheitsrisiko !!!!!!
Start<Systemsteuerung<Verwaltung<Dienste

..................................................................................................
Dann poste das Log mit einer Startseite im IE noch mal.
MfG
Sabina
;)

http://www.kephyr.com/spywarescanner/library/msopt/index.phtml
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 03.07.2004 um 15:29 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: