Explorer fliegt auf, Dialer wollen ins Net...

#0
20.04.2004, 22:46
Member

Beiträge: 11
#1 Hallo,
da bin ich wieder, mit einem neuen Problem. Ad-aware und Spy Bot sind gelaufen, brachte nix.
Was kann ich tun??
Explorer von www.belgiandip.com und Dialer mit dem lächerlichen Namen: VIRUS.FREE von www.phoncom.com lädt sich automatisch...

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Network ICE\BlackICE\blackd.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\GFI\LANguard Network Security Scanner 3\sscansvc.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\WINDOWS\Explorer.EXE
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Network ICE\BlackICE\blackice.exe
C:\Programme\Outlook Express\MSIMN.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\SIDLEM.exe
C:\WINDOWS\Explorer.EXE
E:\Bernds U-Bahn-Station\Downloads_NEU\Systen Viren und co\CWShredder.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Bernds U-Bahn-Station\Downloads_NEU\Systen Viren und co\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_3.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Client Access Service] "C:\Programme\IBM\Client Access\CwbSvStr.Exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programme\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programme\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SIDLEM] C:\WINDOWS\System32\SIDLEM.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: BlackICE PC Protection.lnk = C:\Programme\Network ICE\BlackICE\blackice.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Hilfe zu i-Nav (HKLM)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav (HKLM)
O9 - Extra 'Tools' menuitem: Optionen für i-Nav (HKLM)
O9 - Extra button: XM2002® (HKLM)
O9 - Extra 'Tools' menuitem: &XM2002® (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Seitenanfang Seitenende
20.04.2004, 23:23
Member

Beiträge: 1095
#2 Hi Kamiro

Fixe bitte dies hier
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [SIDLEM] C:\WINDOWS\System32\SIDLEM.exe


Check die Datei nochmal durch bei einem Onlinecheck oder schick Sie mir an mike_hangover@gozomail.com(Meine FakeEMail)
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

dann neustart und nochmal log posten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
21.04.2004, 16:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 Nur noch mal als Info:

alchem.exe This is Ad-ware component.
Suggest to remove from startup.
Read more:
http://webhelper.netfirms.com/index.html

O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe

----------------------------------------------------------------------
UpdReg.exe

(Creative Labs)

Registry updater task installed by the LiveWare software that comes with SoundBlaster Live or Audigy cards. When LiveWare is installed, and configured, some settings are saved in the Current User profile in the Windows Registry and UPDREG is installed as a startup item to ensure that if a new profile is created on the PC in question, then the settings saved under the “Current User” profile in the Registry are replicated to the new user profile just created.
http://www.answersthatwork.com/Tasklist_pages/tasklist_u.htm (scrollen)

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 21.04.2004 um 16:30 Uhr von Sabina editiert.
Seitenanfang Seitenende
21.04.2004, 16:18
Member
Avatar Dafra

Beiträge: 1122
#4 @Sabina
Ich will dich jetzt nicht in deinem Eifer stoppen. Das ist auch gut so, aber du musst nicht das posten was andre schon gepostet haben.

MFG
DAFRA
Seitenanfang Seitenende
21.04.2004, 16:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Der Eifer braucht Zeit.....war noch nicht fertig...da auf der Suche nach UpdReg.exe

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.04.2004, 20:19
Member

Beiträge: 1095
#6 Ok
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
ist OK und sauber

Also
Fixe bitte dies hier auf jeden Fall
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [SIDLEM] C:\WINDOWS\System32\SIDLEM.exe

Dann neustart und schauen ob alles OK ist

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 21.04.2004 um 20:20 Uhr von paff editiert.
Seitenanfang Seitenende
22.04.2004, 22:22
Member

Themenstarter

Beiträge: 11
#7 Hi Paff,
danke für diese Message und deine Hilfe.
Habs mal gemacht, Problem ist immer noch da, nur eines ist komisch:
Die
O4 - HKLM\..\Run: [SIDLEM] C:\WINDOWS\System32\SIDLEM.exe

ist nicht mehr drin, dafür an gleicher Stelle:

O4 - HKLM\..\Run: [SIMTFM] C:\WINDOWS\System32\SIMTFM.exe

Geht da irgendwas ab??
Send dir die mal per Mail.

Gruss und Danke,
Kamiro
Seitenanfang Seitenende
23.04.2004, 13:02
Member

Beiträge: 1095
#8 @kamiro

kann mir deine Datei erst heute Abend anschauen.
Test Sie mal bei einem Onlinescan
http://www.kaspersky.com/de/remoteviruschk.html
+ Verschicke NIE,NIE,NIE *.exe sondern immer zippen.


Wichtig:
Fixen im abgesicherten Modus von Windows
Der Internet Explorer darf nicht geöffnet sein.

Fixe alles angegebene und
das natürlich auch
O4 - HKLM\..\Run: [SIMTFM] C:\WINDOWS\System32\SIMTFM.exe

Gruß paff

--------------------------------------------------------------------
Nachtrag 19:18

Die Datei SIMTFM.exe war ein Trojaner(Dropper)
Meldung Antivir
Trojanische Pferd TR/VB.CA!

Meldung Kaspersky
TrojanDownloader.Win32.VB.ca


Meine Meinung dazu:
Die (Trojaner-Hacker) haben sich nicht mal die Mühe gemacht, der Datei ein Icon zu geben. Das ist das Standard Icon für exen in Visual Basic.
Das ist so billig. Ich glaubs net ;)
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 23.04.2004 um 19:54 Uhr von paff editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: