Home » Spyware & Browser Hijacker Support Forum » Problem mit DSO-Exploit, was macht der » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): Erste Seite 8 9 10 11 12 13 14 Letzte Seite

Antworten

Problem mit DSO-Exploit, was macht der

Thema ist geschlossen!

09.07.2004, 09:27

wewi

...neu hier

Beiträge: 9

#151 Liebe Sabina!
Habe alles so gemacht wie Du gepostet hast. Bis auf die Entfernung der dll`s. Kann leider nicht verifizieren welches dll schadhaft ist und wann der Infect aufgetreten ist. Heute hat mir Spybot den DSO - Exploit wieder gezeigt und 19 andere Dateien repariert. Kann es sein, dass ich im Hijack This nicht ganz richtige Einstellungen habe?

Danke aus Salzburg Österreich
wewi ......Im Anschluß der
Logfile of HijackThis v1.98.0 (von heute)
Scan saved at 09:01:31, on 09.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\DOKUME~1\Kurt\LOKALE~1\Temp\mwavscan.com
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
C:\DOKUME~1\Kurt\LOKALE~1\Temp\kavss.exe
C:\PROGRA~1\MICROS~3\Office\OUTLOOK.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Kurt\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gericom.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.orf.at/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-D7F0-F660BA9AAE7D} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A78CC2FF-6E4E-4556-B27C-D7C3A70D7A50} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\Kurt\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /1
O4 - Global Startup: Device Detector 2.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O15 - Trusted Zone: http://*.flingstone.com
O15 - Trusted Zone: http://*.mt-download.com
O15 - Trusted Zone: http://*.xxxtoolbar.com
O16 - DPF: {4E7BD74F-2B8D-469E-D7F0-F660BA9AAE7D} -
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} -
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} -

Zitat

Sabina postete
@wewi

Fixe mit dem HijackThis

O2 - BHO: (no name) - {A78CC2FF-6E4E-4556-B27C-D7C3A70D7A50} - (no file)
O16 - DPF: {4E7BD74F-2B8D-469E-D7F0-F660BA9AAE7D} -
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} -
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} -

neustarten

Ueberpruefe mit Kaspersky
http://www.kaspersky.com/remoteviruschk.html

C:\WINDOWS\system32\arpa.exe

C:\WINDOWS\system32\arpa.exe

C:\WINDOWS\system32\arpa.exe
C:\WINDOWS\system32\arpa.exe
C:\WINDOWS\system32\arpa.exe
C:\WINDOWS\system32\arpa.exe
C:\WINDOWS\system32\arpa.exe
C:\WINDOWS\system32\arpa.exe

scanne mit mwav.exe und poste, was das Tool und Kaspersky gefunden haben.
http://www.mwti.net/antivirus/free_utilities.asp

Gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

#Konfiguriere den Antivirus auf <Heuristic:hoch und <alle Dateien scannen< und mache einen vollscann

#dann scanne, ebenfalls im abgesicherten Modus noch einmal mit dem Spybot

#Loesche unter <InternetOptionen die TemporaryInternetFiles
............................................................................................................
#Suche alle dlls, ....welche ist datumssmaessig diejenige, die vom Datum her mit dem Problem der Startseite uebereinstimmt ???

MfG
Sabina

09.07.2004, 10:43

Sabina

Ehrenmitglied

Beiträge: 29434

#152 wewi
Es sieht schon viel besser aus !!!

Fixe

O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-D7F0-F660BA9AAE7D} - (no file)
O2 - BHO: (no name) - {A78CC2FF-6E4E-4556-B27C-D7C3A70D7A50} - (no file)
O15 - Trusted Zone: http://*.flingstone.com
O15 - Trusted Zone: http://*.mt-download.com
O15 - Trusted Zone: http://*.xxxtoolbar.com
O16 - DPF: {4E7BD74F-2B8D-469E-D7F0-F660BA9AAE7D} -
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} -
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} -

neustarten

Lade AdAware free , update und scanne <alle Dateien<
http://www.lavasoft.de/support/download/

Dann poste das Log noch mal.
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 09.07.2004 um 10:43 Uhr von Sabina editiert.

09.07.2004, 10:44

Sabina

Ehrenmitglied

Beiträge: 29434

#153 "Fanti05

Hallo Sabina,
ich habe auch eine Meldung in Spybot über DSO Exploit. Zusätzlich wird meine Startseite im IE verstellt und es erscheinen Popups beim starten des IE.
Anbei mein Logfile

Logfile of HijackThis v1.98.0
Scan saved at 22:21:05, on 08.07.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\WBEM\CIMOM.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\TRUST\270KD SILVERLINE KEYBOARD & WIRELESS MOUSE\KEYBOARD\IKEYMAIN.EXE
C:\PROGRAMME\TRUST\270KD SILVERLINE KEYBOARD & WIRELESS MOUSE\MOUSE\AMOUMAIN.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\1031\MSOFFICE.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER2.3\SMARTSURFER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F1 - win.ini: run=hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {83F23F3A-EF8D-477C-A2E4-C5A6514EB573} - C:\WINDOWS\SYSTEM\NDGLCBA.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\TRUST\270KDS~1\KEYBOARD\IKEYMAIN.EXE
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\TRUST\270KDS~1\MOUSE\AMOUMAIN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMANTEC\LIVEUP~1\SNDMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccProxy] C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPROXY.EXE
O4 - HKLM\..\RunServices: [SndSrvc] C:\PROGRA~1\GEMEIN~1\SYMANT~1\SNDSRVC.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?315
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://ftp.hp.com/pub/automatic/player/isetupML.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.120.252,192.168.120.253
O18 - Filter: text/html - {D77B8862-68AA-4FF1-9A1D-B80F004C919C} - C:\WINDOWS\SYSTEM\NDGLCBA.DLL
O18 - Filter: text/plain - {D77B8862-68AA-4FF1-9A1D-B80F004C919C} - C:\WINDOWS\SYSTEM\NDGLCBA.DLL

Was kann ich tun?
Im voraus schon mal vielen Dank für deine Bemühungen!
Gruß
Peter
__________
MfG Sabina

rund um die PC-Sicherheit

09.07.2004, 10:50

Sabina

Ehrenmitglied

Beiträge: 29434

#154 @fanti05

Fixe mit dem HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

F1 - win.ini: run=hpfsched

O2 - BHO: (no name) - {83F23F3A-EF8D-477C-A2E4-C5A6514EB573} - C:\WINDOWS\SYSTEM\NDGLCBA.DLL
O18 - Filter: text/html - {D77B8862-68AA-4FF1-9A1D-B80F004C919C} - C:\WINDOWS\SYSTEM\NDGLCBA.DLL
O18 - Filter: text/plain - {D77B8862-68AA-4FF1-9A1D-B80F004C919C} - C:\WINDOWS\SYSTEM\NDGLCBA.DLL

NEUSTARTEN und deaktiviere kurz deinen Virenscanner und lade Antivirus
http://www.free-av.de/
Warte in aller Ruhe den Installationsscann ab ,)

#Konfuguriere den Antivirus
<Heuristic:hoch
<alle Dateien scannen
<bei Fund sofort loeschen
und mache einen Vollscann

#Lade Spysweeper
http://www.spysweeper.com/

#Loesche unter <InternetOptionen <die Temporaryinternetfiles !!!
und stelle eine neue Startseite ein

Poste das neue Log dann noch einmal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 09.07.2004 um 10:53 Uhr von Sabina editiert.

09.07.2004, 12:52

Sabina

Ehrenmitglied

Beiträge: 29434

#155 @wewi

Scanned file: arpa.exe
arpa.exe - packed with UPXarpa.exeWarning: TrojanClicker.Win32.Small.z Statistics:Known viruses: 92461 Updated: 08-07-200
File size (Kb): 3 Virus bodies: 0
Files: 2 Warnings: 1
Archives: 0 Suspicious: 0

Scan mwti.net Ergebnis:
File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\deaAT89.exe infected by "Trojan.Win32.Dialer.ay" Virus. Action Taken: File Deleted.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.2\deaAT89.exe infected by "Trojan.Win32.Dialer.ay" Virus. Action Taken: File Deleted.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.3\deaAT89.exe infected by "Trojan.Win32.Dialer.be" Virus. Action Taken: File Deleted.
File C:\WINDOWS\Downloaded Program Files\deaAT89.exe infected by "Trojan.Win32.Dialer.ay" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system\notepad.exe infected by "TrojanDropper.Win32.Mudrop.h" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system\ping.exe infected by "TrojanDropper.Win32.Mudrop.h" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system\egedit.exe infected by "TrojanDropper.Win32.Mudrop.h" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system\wordpad.exe infected by "TrojanDropper.Win32.Mudrop.h" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system32\arpa.exe infected by "TrojanClicker.Win32.Small.z" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\bhui.exe infected by "TrojanDownloader.Win32.IstBar.fd" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\NDrv.exe tagged as not-a-virus:AdvWare.PurityScan.k. No Action Taken.
File C:\WINDOWS\system32\notepad.exe infected by "TrojanDropper.Win32.Mudrop.h" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system32\regedit.exe infected by "TrojanDropper.Win32.Mudrop.h" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system32\wordpad.exe infected by "TrojanDropper.Win32.Mudrop.h" Virus. Action Taken: File Deleted.
File C:\Programme\Pinnacle\Studio 8\OEM\hfx46studiosilent.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File H:\Downloads\0190warn.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File H:\Downloads\Zweckform.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Wewi
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 09.07.2004 um 12:53 Uhr von Sabina editiert.

09.07.2004, 13:01

Sabina

Ehrenmitglied

Beiträge: 29434

#156 @WEWI

Liebe Sabina!
Ich glaube es gibt noch gute Menschen auf dieser Welt. Danke für Deine rasche Antwort! Da ich aber kein Superuser bin, bitte ich Dich, mir die Sache so einfach wie möglich zu erklären.
Danke

Jetzt mein Logfile

Logfile of HijackThis v1.98.0
Scan saved at 20:27:08, on 08.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
C:\WINDOWS\system32\arpa.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\arpa.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\MICROS~3\Office\OUTLOOK.EXE
C:\WINDOWS\system32\arpa.exe
C:\WINDOWS\system32\arpa.exe
C:\WINDOWS\system32\arpa.exe
C:\WINDOWS\system32\arpa.exe
C:\WINDOWS\system32\arpa.exe
C:\WINDOWS\system32\arpa.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Kurt\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gericom.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.orf.at/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-D7F0-F660BA9AAE7D} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A78CC2FF-6E4E-4556-B27C-D7C3A70D7A50} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [AdRotator.Application] C:\WINDOWS\system32\drivers\csrss.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /1
O4 - Global Startup: Device Detector 2.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O15 - Trusted Zone: http://*.mt-download.com
O16 - DPF: {4E7BD74F-2B8D-469E-D7F0-F660BA9AAE7D} -
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} -
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} -
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 09.07.2004 um 13:02 Uhr von Sabina editiert.

09.07.2004, 13:05

Sabina

Ehrenmitglied

Beiträge: 29434

#157 WEWI

@Wewi

C:\WINDOWS\system32\NDrv.exe tagged as not-a-virus:AdvWare.PurityScan.k. No Action Taken.
......................................................................................................
Loesche:falls der Antivirus es nicht schon erledigt hat ......

C:\WINDOWS\system32\NDrv.exe

C:\WINDOWS\system32\arpa.exe
C:\WINDOWS\system32\arpa.exe
C:\WINDOWS\system32\arpa.exe
C:\WINDOWS\system32\arpa.exe
C:\WINDOWS\system32\arpa.exe
C:\WINDOWS\system32\arpa.exe
C:\WINDOWS\system32\arpa.exe
C:\WINDOWS\system32\arpa.exe

#Lade Spysweeper
http://www.spysweeper.com/
#AdAware free
http://www.lavasoft.de/support/download/

Dann scanne noch einmal mit der mwav.exe und poste das Ergbnis.
um zu sehen, ob der Puritan und alles andere weg ist.

Dann poste das Log auch noch einmal...aber bitte ins Forum, sonst wird das ein Durcheinader, und ich muss alles umkopieren ...

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 09.07.2004 um 13:06 Uhr von Sabina editiert.

09.07.2004, 13:16

ttk100

...neu hier

Beiträge: 3

#158 hallo sabina,
vielen dank für deine hilfe. wie schwer ist denn bitte schön dieser virus für einen laien zu entfernen. kein programm, das einem die arbeit abnimmt.

hier mein hijack logfile noch mal mit der bitte zu überprüfen. festgestellt habe ich, dass ich von hotmail.com jetzt nicht mehr so leicht auf diese seite zugreifen kann. ich musste opera nehmen, beim internet explorer fängt mein rechner an, immer langsamer zu werden. welche der virenprogramme kann ich wieder entfernen: norton antivirus, antivir, spysweeper, adm, cwshredder.

hab ich irgendeine datei gelöscht, die für windows wichtig war?

womit kann man dir mal helfen?

liebe grüße
torben aus hamburg

09.07.2004, 14:05

Sabina

Ehrenmitglied

Beiträge: 29434

#159 Hallo ttk100

Wo ist das Log ?

Wenn alles virenmaessig sauber ist, musst du dich fuer nur einen Virenscanner entscheiden...den anderen deinstallieren.

Und saeubere den Computer mit TuneUp...30 Tage free
http://www.tuneup.de/download/

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 09.07.2004 um 14:09 Uhr von Sabina editiert.

09.07.2004, 16:27

wewi

...neu hier

Beiträge: 9

#160 Liebe Sabina!
Ich habe alles so gemacht wie Du gesagt (gewrotet) hast. Ad-aware6.0 hat nichts gefunden. Spybot hat den DSO - Exploit noch immer gefunden. Bitte Dich um Antwort oder wie lange kann mein System noch überleben? hihihi

Herzlichen Dank und liebe Grüsse aus Salzburg/Österreich
wewi

Logfile of HijackThis v1.98.0
Scan saved at 16:13:19, on 09.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\MICROS~3\Office\OUTLOOK.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Kurt\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gericom.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.orf.at/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-D7F0-F660BA9AAE7D} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A78CC2FF-6E4E-4556-B27C-D7C3A70D7A50} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\Kurt\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /1
O4 - Global Startup: Device Detector 2.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O16 - DPF: {4E7BD74F-2B8D-469E-D7F0-F660BA9AAE7D} -
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} -
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} -

Zitat

Sabina postete
wewi
Es sieht schon viel besser aus !!!

Fixe

O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-D7F0-F660BA9AAE7D} - (no file)
O2 - BHO: (no name) - {A78CC2FF-6E4E-4556-B27C-D7C3A70D7A50} - (no file)
O15 - Trusted Zone: http://*.flingstone.com
O15 - Trusted Zone: http://*.mt-download.com
O15 - Trusted Zone: http://*.xxxtoolbar.com
O16 - DPF: {4E7BD74F-2B8D-469E-D7F0-F660BA9AAE7D} -
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} -
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} -

neustarten

Lade AdAware free , update und scanne <alle Dateien<
http://www.lavasoft.de/support/download/

Dann poste das Log noch mal.
Gruss
Sabina

09.07.2004, 20:03

Sabina

Ehrenmitglied

Beiträge: 29434

#161 wewi

Fixe
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-D7F0-F660BA9AAE7D} - (no file)
O2 - BHO: (no name) - {A78CC2FF-6E4E-4556-B27C-D7C3A70D7A50} - (no file)

Fixe auch, damit es aus dem Autostart kommt ...nach 30 Tagen dann deinstallieren
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\Kurt\LOKALE~1\Temp\mwavscan.com" /s

Hast du C:\WINDOWS\system32\NDrv.exe geloescht ?
Die Exploid/Eintraege vom Spybot sind ein Bug...ein Fehler und kein Grund zur Sorge.
Der Virus scheint gekillt und die Startseite ist auch o.k.
Meiner Meinung nach ist alles o.k.

entscheide dich nur fuer einen Virenscanner und deaktiviere den anderen.

Surfe mit Firefox...ist sicherer
http://www.firebird-browser.de/

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 09.07.2004 um 20:07 Uhr von Sabina editiert.

09.07.2004, 21:34

Andre H.

...neu hier

Beiträge: 1

#162 Hallo,
ici habe auch ein Problem mit dem Müll...
Hier mein Log

Logfile of HijackThis v1.97.7
Scan saved at 21:28:44, on 09.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\LTSMMSG.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\mouse32a.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\vptray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\TVgenial\TVgenial.exe
C:\Programme\Digital Image\Monitor.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Andre Holtz\Eigene Dateien\Privat\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ANDREH~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ANDREH~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ANDREH~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ANDREH~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ANDREH~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ANDREH~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {31277F50-9CE0-465F-A1CB-127FAEC9D682} - C:\WINDOWS\System32\klk.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ServiceLayer] C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [FLMBROWSEMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\mouse32a.exe
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [vptray] C:\Programme\Symantec_Client_Security\Symantec AntiVirus\vptray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d
O4 - Startup: textweg.bat
O4 - Global Startup: Digital Image Monitor.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://F:\content\include\XPPatchInstaller.CAB
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37626.1293402778
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Ich hoffe jemand kann mir helfen, damit bald hier wieder alles okay ist...
Danke im voraus

Andre

09.07.2004, 22:52

wewi

...neu hier

Beiträge: 9

#163 Liebe Sabina!
Scheint wirklich alles ok zu sein, dafür gebührt Dir eine virtuelle Umarmung. Ohne Dich hätte mein PC die Todesstrafe ereilt (wahrscheinlich standrechtliches an die Wand werfen ... oder so!) Der DSO Exploit ist noch immer vorhanden, ich glaube, dass ich mit dem leben kann. Falls es einmal ein Rezept gegen diesen "Bug" gibt, lass es mich bitte wissen. Ich beobachte die Angelegenheit die nächsten Tage und lass Dich dann an meiner Freude teilhaben.

Liebe Grüsse und herzlichen Dank

wewi

Zitat

Sabina postete
wewi

Fixe
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-D7F0-F660BA9AAE7D} - (no file)
O2 - BHO: (no name) - {A78CC2FF-6E4E-4556-B27C-D7C3A70D7A50} - (no file)

Fixe auch, damit es aus dem Autostart kommt ...nach 30 Tagen dann deinstallieren
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\Kurt\LOKALE~1\Temp\mwavscan.com" /s

Hast du C:\WINDOWS\system32\NDrv.exe geloescht ?
Die Exploid/Eintraege vom Spybot sind ein Bug...ein Fehler und kein Grund zur Sorge.
Der Virus scheint gekillt und die Startseite ist auch o.k.
Meiner Meinung nach ist alles o.k.

entscheide dich nur fuer einen Virenscanner und deaktiviere den anderen.

Surfe mit Firefox...ist sicherer
http://www.firebird-browser.de/

MfG
Sabina

10.07.2004, 00:14

fanti05

...neu hier

Beiträge: 4

#164 Hallo Sabina,
jetzt hab ichs doch noch geschafft. Ich bin nach deinen Vorgaben vorgegangen. Habe alles gelöscht was gefunden wurde.
Derzeit siehts so aus: Ad-aware, AntiVir und SpySweeper finden nichts mehr.
Spybot zeigt immer noch den DSO Exploit an. Ich hoffe es ist der bekannte Bug. Mein IE funktioniert auch wieder reibungslos.
Anbei nochmals mein Logfile.

Logfile of HijackThis v1.98.0
Scan saved at 00:07:40, on 10.07.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\WBEM\CIMOM.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\TRUST\270KD SILVERLINE KEYBOARD & WIRELESS MOUSE\KEYBOARD\IKEYMAIN.EXE
C:\PROGRAMME\TRUST\270KD SILVERLINE KEYBOARD & WIRELESS MOUSE\MOUSE\AMOUMAIN.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\1031\MSOFFICE.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER2.3\SMARTSURFER.EXE
C:\PROGRAMME\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metager.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metager.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {35D51FB0-F2C4-43CF-9E77-D3E69DB1CF9F} - C:\WINDOWS\SYSTEM\NDGLCBA.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\TRUST\270KDS~1\KEYBOARD\IKEYMAIN.EXE
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\TRUST\270KDS~1\MOUSE\AMOUMAIN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMANTEC\LIVEUP~1\SNDMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccProxy] C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPROXY.EXE
O4 - HKLM\..\RunServices: [SndSrvc] C:\PROGRA~1\GEMEIN~1\SYMANT~1\SNDSRVC.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - HKCU\..\RunServices: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunServices: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - HKCU\..\RunOnce: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?315
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://ftp.hp.com/pub/automatic/player/isetupML.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.120.252,192.168.120.253

Bitte schau es nochmals durch.
Danke!!!!!

Übrigens finde ich es klasse, daß Du dein Wissen und deine Zeit für uns Laien zur Verfügung stellts. Ich weiß gar nicht so richitg, wie ich mich bei dir bedanken soll. Hab fast schon a bißle ein schlechtes Gewissen!

10.07.2004, 12:55

Sabina

Ehrenmitglied

Beiträge: 29434

#165 fanti05

Fixe bitte noch

O2 - BHO: (no name) - {35D51FB0-F2C4-43CF-9E77-D3E69DB1CF9F} - C:\WINDOWS\SYSTEM\NDGLCBA.DLL (file missing)

Suche diese dll und loesche sie

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): Erste Seite 8 9 10 11 12 13 14 Letzte Seite