Coolwebsearch ist nicht zu löschen? |
||
---|---|---|
#0
| ||
21.04.2004, 23:29
Member
Beiträge: 32 |
||
|
||
22.04.2004, 09:27
Member
Beiträge: 1095 |
#2
Hi TGorke
Zitat Systemumgebung ist: Win XP Prof. SP1a (alle wichtigen Updates sind eingespielt)1. Bist du da ganz sicher? 2. Du benutzt Novell Kann es sein das übers LAN/Heimnetz irgendetwas kommt. 3. Das Log sieht sauber aus(nach der Bereinigung) Mach die Bereinigung mal im abgesicherten Modus Danach noch Virenscanner (upgedated) drüberjagen Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
22.04.2004, 09:50
Member
Themenstarter Beiträge: 32 |
#3
Hi paff,
zu 1.) ja bin sicher das alles aktuell ist! zu 2.) das ist richtig, dass System kann sich über ein VPN in ein Firmennetzwerk connecten! Das wird aber zu zeit nicht benötigt und ist somit auch nicht aktiv! zu3.) genau das "log" schaut nach dem "cleanen" immer sauber aus, ich hatte nur gehofft das ich depp was vergessen habe .................. ! Und wie gesagt alle o.g Tools (alle aktuell!!!!) finden dann auch nix mehr! Ich werde es heute Abend wenn es wieder befallen ist, wie du geraten hast im abgesicherten Modus bereinigen. Das hatte ich nämlich nicht gemacht. Werden dann berichten! Vielen Dank schon mal für den Tipp! Gruß TGorke |
|
|
||
22.04.2004, 10:33
Member
Beiträge: 1095 |
#4
@TGorke
Zusatz: Lass einfach auch CWShredder,Spybot und Adaware im abgesicherten Modus laufen ! zu 2. Kann es vielleicht sein, das sich dein VPN oder ein Tool genau um die Zeit 22:48 irgendwo hin verbinden. Mails holen oder sowas ähnliches? gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
22.04.2004, 11:28
Member
Themenstarter Beiträge: 32 |
#5
@paff
Ja, das werden ich heute Abend so machen und dann berichten! zu 2. nein es ist ausgeschlossen, denn wenn überhaupt muss die VPN Verbindung manuell aufgebaut werden. Danach ist dann noch eine aufwendige Anmeldung notwendig. Und ein Tool habe ich jedenfalls nicht bewust im Einsatz welches irgendwelche Aufgaben genau um diese Zeit erledigt. Dennoch muss es in der Tat etwas sein was genau dann dem Mist verursacht. Ist daran zu erkennen das sich dann immer eine andere infizierte *.dll Datei mit genau dem timestamp im Verz. C:\windows\system32 befindet welche die besagten tools auch erkennen aber scheinbar nicht entgültig löschen! Also ich bin echt gespannt was das ist und wie lange ich da noch dran rum suchen muss. Besten Dank u. Gruß T.Gorke |
|
|
||
22.04.2004, 12:36
Moderator
Beiträge: 7805 |
#6
Hm, was laeuft denn auf deinem Rechner um 22:48? Ich denke du/dein Arbeitgeber hat eine gueltige Lizenz fuer Mcafee, schick die Datei F:\WINDOWS\System32\ldbbada.dll mal an den deutschen Support und frage nach einer Extra.dat fuer diese CWS Variante. Falls das nicht klappt, schick sie an virus@protecus.de
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.04.2004, 14:46
Member
Themenstarter Beiträge: 32 |
#7
Hi raman,
ja selbstverständlich verfüge ich über eine gueltige Lizenz! Es wird da auch ständig ein update gefahren..........geht heute ja leider nicht mehr anders. Ich nehme Deinen Rat sehr gene auf und werde das heute gleich auf die Reise schicken wenn wieder eine neue infizierte Datei eingetroffen ist. Ich berichte heute Abend dann noch mal was so passiert. Auch Dir vielen Dank für den Tipp! Gruß T. Gorke |
|
|
||
22.04.2004, 16:09
Ehrenmitglied
Beiträge: 29434 |
#8
F:\WINDOWS\System32\eTSrv.exe
Mach am eine Virenscann mit http://www.kaspersky.com/remoteviruschk.html Die exe kann zu einem LaserDrucker gehoeren, oder auch nicht.... MfG sSabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.04.2004, 16:37
Member
Beiträge: 1095 |
#9
Zitat Sabina posteteDie gehört wohl zu einem USB-Stick Link: Achtung ist Powerpoint Datei http://www.cs.odu.edu/~websec/websec/etoken.ppt Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
22.04.2004, 22:18
Member
Themenstarter Beiträge: 32 |
#10
Hallo Sabina, paff,
ja, das eTSRV.exe gehört zu einem USB E-Token! Das ist OK! So bin schon mal gespannt gleich ist es wieder so weit, es naht 22:48!! Gruß T. Gorke |
|
|
||
14.07.2004, 19:31
...neu hier
Beiträge: 5 |
#11
Hallo zusammen
Kämpfe seit einer Woche mit einem ähnlichen Problem wie TGorke. Unten mein aktuelles log von HijackThis. Könnte bitte jemand mal einen Blick drauf werfen? Habe nicht wirklich den Durchblick... Besten Dank! Tom Logfile of HijackThis v1.97.7 Scan saved at 19:24:10, on 14.07.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\SymTray.exe C:\Program Files\ICQLite\ICQLite.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe C:\Program Files\3M\PSN2Lite\Psn2Lite.exe C:\PROGRA~1\3M\PSN2Lite\PSNGive.exe C:\WINNT\system32\wuauclt.exe C:\Program Files\HijackThis.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Outlook Express\msimn.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\mfplay.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\mfplay.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\mfplay.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\mfplay.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\mfplay.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\mfplay.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.tiscalinet.ch:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www.tiscalinet.ch;tiscalinet.ch;netmail.tiscalinet.ch;<local> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O1 - Hosts: 172.18.36.211 hofnts40enjo02 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {DFB6E06E-E103-4440-8724-2385009BCE5D} - C:\WINNT\system32\mfplay.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\Symtray.exe SetReg O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\Symtrdr.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSN2Lite\Psn2Lite.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: ConferenceRoom Java Client - http://irc2.bluewin.ch/java/cr.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37999.5265277778 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
|
|
||
14.07.2004, 19:44
Moderator
Beiträge: 7805 |
#12
Fix das:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\mfplay.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\mfplay.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\mfplay.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\mfplay.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\mfplay.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\mfplay.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O1 - Hosts: 172.18.36.211 hofnts40enjo02 O2 - BHO: (no name) - {DFB6E06E-E103-4440-8724-2385009BCE5D} - C:\WINNT\system32\mfplay.dll O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present neu starten und diese Datei an virus@protecus.de mit kleinem Hinweis auf diesen Thread schicken und dann loeschen. Nutze diesen Cleaner: ftp://ftp.kaspersky.com/utils/clrav.com (hat er was gefunden?) Diesen dann auch noch Escan Poste zu guter letzt noch ein Log mit Hijackthis 1.98 . __________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.07.2004, 15:59
...neu hier
Beiträge: 5 |
#13
hallo raman
habe das angegebene gefixt. clrav hat nichts gefunden, escan hingegen einiges. hier das neue log mit hijackthis 1.98: Logfile of HijackThis v1.98.0 Scan saved at 15:34:15, on 18.07.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\SymTray.exe C:\Program Files\ICQLite\ICQLite.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe C:\Program Files\3M\PSN2Lite\Psn2Lite.exe C:\PROGRA~1\3M\PSN2Lite\PSNGive.exe C:\Program Files\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://search-all.net/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.tiscalinet.ch:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www.tiscalinet.ch;tiscalinet.ch;netmail.tiscalinet.ch;<local> O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\Symtray.exe SetReg O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\Symtrdr.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSN2Lite\Psn2Lite.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: ConferenceRoom Java Client - http://irc2.bluewin.ch/java/cr.cab O18 - Protocol: saphtmlp - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - (no file) O18 - Protocol: sapr3 - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - (no file) O18 - Filter: text/html - {C2F09FC6-FCE8-4AE6-8A3E-C952D307FE77} - (no file) O18 - Filter: text/plain - {C2F09FC6-FCE8-4AE6-8A3E-C952D307FE77} - (no file) -------------------------------------------------------------- und hier noch, was escan gefunden hat: File C:\WINNT\precontrol.exe infected by "TrojanClicker.Win32.Nex" Virus. Action Taken: File Deleted. File C:\WINNT\system32\mfplay.exe infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted. File C:\WINNT\system32\msmk.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: File Deleted. File C:\WINNT\system32\reinstall.exe infected by "Trojan.Win32.Dialer.by" Virus. Action Taken: File Deleted. File C:\WINNT\system32\rnr.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: File Deleted. File C:\WINNT\system32\run_dos.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: File Deleted. File C:\WINNT\system32\taskmgn.exe infected by "not-virus:Hoax.Win32.Likesurf" Virus. Action Taken: File Renamed. File C:\WINNT\system32\telnetxp.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: File Deleted. File C:\link.exe infected by "TrojanDownloader.Win32.Barlf" Virus. Action Taken: File Deleted. File C:\Program Files\backup-20040715-013724-676.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted. File C:\Program Files\backup-20040715-021905-676.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted. File C:\Program Files\Norton SystemWorks\Norton AntiVirus\Quarantine\003106A6 infected by "TrojanClicker.Win32.Small.w" Virus. Action Taken: File Deleted. File C:\Program Files\Norton SystemWorks\Norton AntiVirus\Quarantine\00BB6A0F infected by "TrojanDownloader.Win32.Agent.ak" Virus. Action Taken: File Deleted. File C:\Program Files\Norton SystemWorks\Norton AntiVirus\Quarantine\1E773756.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed. File C:\Program Files\Norton SystemWorks\Norton AntiVirus\Quarantine\370B2FAA infected by "Backdoor.SdBot.mc" Virus. Action Taken: File Renamed. File C:\Program Files\Norton SystemWorks\Norton AntiVirus\Quarantine\4AD568BE infected by "Backdoor.Spyboter.cf" Virus. Action Taken: File Renamed. File C:\Program Files\Norton SystemWorks\Norton AntiVirus\Quarantine\52385E9D infected by "Backdoor.SdBot.ky" Virus. Action Taken: File Renamed. File C:\Program Files\Windows Media Player\mplayer.exe infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: File Deleted. File C:\Program Files\Windows Media Player\wmplayer.exe infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: File Deleted. File C:\RECYCLER\NPROTECT\00008948.exe infected by "not-virus:Hoax.Win32.Likesurf" Virus. Action Taken: File Renamed. File C:\RECYCLER\NPROTECT\00009224.exe infected by "not-virus:Hoax.Win32.Likesurf" Virus. Action Taken: File Renamed. File C:\RECYCLER\NPROTECT\00009258.exe infected by "not-virus:Hoax.Win32.Likesurf" Virus. Action Taken: File Renamed. File C:\RECYCLER\NPROTECT\00009644.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted. Total Numbers of Virus(es) Found: 23 Total Numbers of Disinfected Files: 0 Total Number of Deleted Files: 15 Total Number of Files Renamed: 8 -------------------------------------------------------------- ich hoffe, escan hat nicht "lebenswichtiges" gelöscht? MfG Duncan |
|
|
||
18.07.2004, 16:14
Moderator
Beiträge: 7805 |
#14
Das was es geloescht umbenannt hat war schon boese und soviel zu Norton!
Fix zu guter letzt noch das: R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://search-all.net/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O18 - Protocol: saphtmlp - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - (no file) O18 - Protocol: sapr3 - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - (no file) O18 - Filter: text/html - {C2F09FC6-FCE8-4AE6-8A3E-C952D307FE77} - (no file) O18 - Filter: text/plain - {C2F09FC6-FCE8-4AE6-8A3E-C952D307FE77} - (no file) __________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.07.2004, 20:26
...neu hier
Beiträge: 5 |
#15
Ah.. dann kann ich ja jetzt (fast) wieder ruhig schlafen :-)
Vielen Dank! Bleibt nur noch folgendes Problem: Zwei von dir genannte Einträge unter 018 lassen sich auf Teufel-komm-raus nicht fixen! Hier das aktuellste log: Logfile of HijackThis v1.98.0 Scan saved at 20:09:21, on 22.07.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\SymTray.exe C:\Program Files\ICQLite\ICQLite.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe C:\Program Files\3M\PSN2Lite\Psn2Lite.exe C:\PROGRA~1\3M\PSN2Lite\PSNGive.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Outlook Express\msimn.exe C:\Program Files\HijackThis.exe C:\WINNT\System32\svchost.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.tiscalinet.ch:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www.tiscalinet.ch;tiscalinet.ch;netmail.tiscalinet.ch;<local> O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\Symtray.exe SetReg O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\Symtrdr.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSN2Lite\Psn2Lite.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: ConferenceRoom Java Client - http://irc2.bluewin.ch/java/cr.cab O18 - Protocol: saphtmlp - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - (no file) O18 - Protocol: sapr3 - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - (no file) |
|
|
||
ich schlage mich seit einer Woche mit diesem Problem herrum. Immer um 22:48 ist meine System verseucht. Immer sind es andere *.dll dateien im System32 verzeichnis. Alle Tools (AdAware, Spybot CWS u. HijackThis) finden den Übeltäter und löschen Ihn auch, aber leider nicht auf dauer. Wie gesagt jeden Abend um 22:48 Uhr ist das system neu verseucht.
Systemumgebung ist: Win XP Prof. SP1a (alle wichtigen Updates sind eingespielt)
Hier nun das log von HijackThis mit dem Problem:
Logfile of HijackThis v1.97.7
Scan saved at 23:09:47, on 21.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\WatchGuard\Mobile User VPN\IreIKE.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
F:\WINDOWS\System32\cusrvc.exe
F:\WINDOWS\System32\eTSrv.exe
F:\Programme\WatchGuard\Mobile User VPN\IPSecMon.exe
F:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
F:\WINDOWS\System32\pcamon32.exe
F:\Programme\McAfee\McAfee VirusScan\VsStat.exe
F:\WINDOWS\System32\PGPsdkServ.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe
F:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
F:\Programme\McAfee\McAfee VirusScan\Avconsol.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\System32\LVComS.exe
F:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
F:\Programme\PTBSync\PTBSync.exe
F:\WINDOWS\System32\NWTRAY.EXE
F:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
F:\Programme\Messenger\msmsgs.exe
F:\Programme\D\D-Info Frühjahr 2004\distart.exe
F:\Programme\WatchGuard\Mobile User VPN\SafeCfg.exe
F:\Programme\PGP Corporation\PGP for Windows XP\PGPtray.exe
F:\Programme\Palm\HOTSYNC.EXE
F:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
F:\WINDOWS\System32\wuauclt.exe
F:\Programme\WebShredder\CWShredder.exe
F:\Programme\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINDOWS\System32\ldbbada.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINDOWS\System32\ldbbada.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINDOWS\System32\ldbbada.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINDOWS\System32\ldbbada.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINDOWS\System32\ldbbada.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINDOWS\System32\ldbbada.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4F1C7650-83BE-47D2-BF7D-DA7233361A13} - F:\WINDOWS\System32\ldbbada.dll
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - F:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] F:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [PTBSync] F:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\System32\\NeroCheck.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "F:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: GENO lite ZV Fälligkeiten.lnk = F:\WINLITE\ZAWF.EXE
O4 - Startup: HotSync Manager.lnk = F:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: D-Info Schnellstarter.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Mobile User VPN.lnk = F:\Programme\WatchGuard\Mobile User VPN\SafeCfg.exe
O4 - Global Startup: PGPtray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: @F:\Programme\Messenger\Msgslang.dll,-61144 (HKLM)
O9 - Extra 'Tools' menuitem: @F:\Programme\Messenger\Msgslang.dll,-61144 (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {69432678-2906-2705-1128-068943397621} -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38089.2382060185
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{10F5846B-D3C5-4FF5-AEC8-42AC20041FB3}: NameServer = 134.102.20.20,0.0.0.0
O17 - HKLM\System\CS1\Services\Tcpip\..\{10F5846B-D3C5-4FF5-AEC8-42AC20041FB3}: NameServer = 134.102.20.20,0.0.0.0
O17 - HKLM\System\CS2\Services\Tcpip\..\{10F5846B-D3C5-4FF5-AEC8-42AC20041FB3}: NameServer = 134.102.20.20,0.0.0.0
und nun das log nach dem fix:
Logfile of HijackThis v1.97.7
Scan saved at 23:13:36, on 21.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\WatchGuard\Mobile User VPN\IreIKE.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
F:\WINDOWS\System32\cusrvc.exe
F:\WINDOWS\System32\eTSrv.exe
F:\Programme\WatchGuard\Mobile User VPN\IPSecMon.exe
F:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
F:\WINDOWS\System32\pcamon32.exe
F:\Programme\McAfee\McAfee VirusScan\VsStat.exe
F:\WINDOWS\System32\PGPsdkServ.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe
F:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
F:\Programme\McAfee\McAfee VirusScan\Avconsol.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\System32\LVComS.exe
F:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
F:\Programme\PTBSync\PTBSync.exe
F:\WINDOWS\System32\NWTRAY.EXE
F:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
F:\Programme\Messenger\msmsgs.exe
F:\Programme\D\D-Info Frühjahr 2004\distart.exe
F:\Programme\WatchGuard\Mobile User VPN\SafeCfg.exe
F:\Programme\PGP Corporation\PGP for Windows XP\PGPtray.exe
F:\Programme\Palm\HOTSYNC.EXE
F:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
F:\WINDOWS\System32\wuauclt.exe
F:\Programme\WebShredder\CWShredder.exe
F:\Programme\hijackthis\HijackThis.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - F:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] F:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [PTBSync] F:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\System32\\NeroCheck.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "F:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: GENO lite ZV Fälligkeiten.lnk = F:\WINLITE\ZAWF.EXE
O4 - Startup: HotSync Manager.lnk = F:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: D-Info Schnellstarter.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Mobile User VPN.lnk = F:\Programme\WatchGuard\Mobile User VPN\SafeCfg.exe
O4 - Global Startup: PGPtray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: @F:\Programme\Messenger\Msgslang.dll,-61144 (HKLM)
O9 - Extra 'Tools' menuitem: @F:\Programme\Messenger\Msgslang.dll,-61144 (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {69432678-2906-2705-1128-068943397621} -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38089.2382060185
O17 - HKLM\System\CCS\Services\Tcpip\..\{10F5846B-D3C5-4FF5-AEC8-42AC20041FB3}: NameServer = 134.102.20.20,0.0.0.0
O17 - HKLM\System\CS1\Services\Tcpip\..\{10F5846B-D3C5-4FF5-AEC8-42AC20041FB3}: NameServer = 134.102.20.20,0.0.0.0
O17 - HKLM\System\CS2\Services\Tcpip\..\{10F5846B-D3C5-4FF5-AEC8-42AC20041FB3}: NameServer = 134.102.20.20,0.0.0.0
Was habe ich da noch vergessen????? Hat jemand noch einen Tipp wie ich den Mist endgültig loswerde???
Vielen Dank vorab für Eure Mühe!
Thomas