Coolwebsearch kann nicht gelöscht werden! - Fortsetzung

#0
22.04.2004, 23:47
Member

Beiträge: 32
#1 Hallo raman, paff,

wie versprochen wollte ich berichten. Heute Abend war es wieder soweit 22:54 nach dem start des MS Explorer denke ich!

Folgendes log wurde geschrieben:

Logfile of HijackThis v1.97.7
Scan saved at 22:57:52, on 22.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\WatchGuard\Mobile User VPN\IreIKE.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
F:\WINDOWS\System32\cusrvc.exe
F:\WINDOWS\System32\eTSrv.exe
F:\Programme\WatchGuard\Mobile User VPN\IPSecMon.exe
F:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
F:\Programme\McAfee\McAfee VirusScan\VsStat.exe
F:\WINDOWS\System32\pcamon32.exe
F:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe
F:\WINDOWS\System32\PGPsdkServ.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
F:\Programme\McAfee\McAfee VirusScan\Avconsol.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
F:\Programme\PTBSync\PTBSync.exe
F:\WINDOWS\System32\NWTRAY.EXE
F:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
F:\Programme\Messenger\msmsgs.exe
F:\Programme\D\D-Info Frühjahr 2004\distart.exe
F:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
F:\Programme\WatchGuard\Mobile User VPN\SafeCfg.exe
F:\Programme\PGP Corporation\PGP for Windows XP\PGPtray.exe
F:\WINDOWS\system32\ntvdm.exe
F:\Programme\Palm\HOTSYNC.EXE
F:\WINDOWS\System32\wuauclt.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Programme\MSN Messenger\msnmsgr.exe
F:\Programme\Internet Explorer\iexplore.exe
F:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINDOWS\System32\gnemed.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINDOWS\System32\gnemed.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINDOWS\System32\gnemed.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINDOWS\System32\gnemed.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINDOWS\System32\gnemed.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINDOWS\System32\gnemed.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {CE096B8B-C2AE-4A3B-B863-BF94CCDF6F66} - F:\WINDOWS\System32\gnemed.dll
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - F:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] F:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [PTBSync] F:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\System32\\NeroCheck.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "F:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: GENO lite ZV Fälligkeiten.lnk = F:\WINLITE\ZAWF.EXE
O4 - Startup: HotSync Manager.lnk = F:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: D-Info Schnellstarter.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Mobile User VPN.lnk = F:\Programme\WatchGuard\Mobile User VPN\SafeCfg.exe
O4 - Global Startup: PGPtray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: @F:\Programme\Messenger\Msgslang.dll,-61144 (HKLM)
O9 - Extra 'Tools' menuitem: @F:\Programme\Messenger\Msgslang.dll,-61144 (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {69432678-2906-2705-1128-068943397621} -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38089.2382060185
O17 - HKLM\System\CCS\Services\Tcpip\..\{10F5846B-D3C5-4FF5-AEC8-42AC20041FB3}: NameServer = 134.102.20.20,0.0.0.0
O17 - HKLM\System\CS1\Services\Tcpip\..\{10F5846B-D3C5-4FF5-AEC8-42AC20041FB3}: NameServer = 134.102.20.20,0.0.0.0
O17 - HKLM\System\CS2\Services\Tcpip\..\{10F5846B-D3C5-4FF5-AEC8-42AC20041FB3}: NameServer = 134.102.20.20,0.0.0.0

dann habe ich gefixt:

Logfile of HijackThis v1.97.7
Scan saved at 23:11:22, on 22.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\hijackthis\HijackThis.exe
F:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
F:\WINDOWS\system32\NOTEPAD.EXE

O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - F:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] F:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [PTBSync] F:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\System32\\NeroCheck.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "F:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: GENO lite ZV Fälligkeiten.lnk = F:\WINLITE\ZAWF.EXE
O4 - Startup: HotSync Manager.lnk = F:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: D-Info Schnellstarter.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Mobile User VPN.lnk = F:\Programme\WatchGuard\Mobile User VPN\SafeCfg.exe
O4 - Global Startup: PGPtray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: @F:\Programme\Messenger\Msgslang.dll,-61144 (HKLM)
O9 - Extra 'Tools' menuitem: @F:\Programme\Messenger\Msgslang.dll,-61144 (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {69432678-2906-2705-1128-068943397621} -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38089.2382060185
O17 - HKLM\System\CCS\Services\Tcpip\..\{10F5846B-D3C5-4FF5-AEC8-42AC20041FB3}: NameServer = 134.102.20.20,0.0.0.0
O17 - HKLM\System\CS1\Services\Tcpip\..\{10F5846B-D3C5-4FF5-AEC8-42AC20041FB3}: NameServer = 134.102.20.20,0.0.0.0
O17 - HKLM\System\CS2\Services\Tcpip\..\{10F5846B-D3C5-4FF5-AEC8-42AC20041FB3}: NameServer = 134.102.20.20,0.0.0.0

so und heute ich alles im abgesicherten modus!!!!!! gefixt. Danach Ad-Aware drüber laufen lassen und das Tool fand noch 4 Reg Einträge!! Alle gelöscht! Noch einen Scan drüber laufen lassen und etzt scheint alles clean zu sein!

Mal sehen wie lange bestimmt wieder bis morgen abend! Wie Ihr seht ist es dieses mal ein anderes File "gnemed.dll". Kann schon bald ne DIN A4 Seite mit den Files füllen die da immer so auftauchen!

Und definitiv: Mein System ist auf den neusten Stand wwas die Updates von MS anbelangt.

Also falls Ihr noch eine gute Idee habe wo der Auslöser liegt dann wäre ich echt dankbar.

Viele Grüße und gute Nacht TGorke
Seitenanfang Seitenende
23.04.2004, 08:17
Moderator

Beiträge: 7799
#2 Und? Datei schon an Mcafee geschickt?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
23.04.2004, 08:55
Member

Beiträge: 1095
#3 Hi

Dann warten wir auch mal ab, bis heute abend;)
Ist ja spannender als jeder Fortsetzungsroman.

Folgendes kannst du auf jedenfall fixen
O4 - Global Startup: D-Info Schnellstarter.lnk = ?
O4 - Global Startup: PGPtray.lnk = ?
Das sind nicht mehr belegte Starteinträge im Autostart/Startmenu.

Auch solltest du dir noch den CWShredder runterladen.
http://www.chip.de/downloads/c_downloads_11353799.html
http://www.wintotal.de/softw/index.php?id=1935
http://www.computercops.biz/zx/phoenix22/cws.zip

und laufen lassen

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
23.04.2004, 09:26
Member

Themenstarter

Beiträge: 32
#4 Hallo raman, paff,

jo, die Datei habe ich schon an McAfee und auch an virus@rokop-security gesendet.

Vom letzteren habe ich auch schon eine Antwort erhalten. Er schreibt das Ihm in letzter Zeit einige Leute von diesem Problem berichtet haben. Des Weiteren habe ich Ihm noch Versionsnummern meiner Komponenten mitgeteilet IE, JVM ( hatte ich heute Nacht vergessen!)

Dabei kam herraus das es ein neues Update vom CWS gibt. Habe ich heute morgen gleich upgedatet. Aber wie gesagt bist heute Abend wird ja alles OK sein!

Mal sehen was McAfee dazu sagt, die habe sich noch nicht gemeldet.

Ja, paff dies Einträge nehme ich raus! Danke!

So dann bis nachher................Gruß TGorke
Seitenanfang Seitenende
23.04.2004, 21:35
Member

Beiträge: 1095
#5 @TGorke
Hier ein Tipp für dich

Wenn die Einträge wieder auftauchen
Such mal auf deinem Rechner die F:\WINDOWS\System32\<xxxx>.dll
Schau mal ob es dazu eine Datei <xxxx.>.cpy.dll gibt.

Diese exe sollte die Dateien auch aufspüren
http://download.broadbandmedic.com/VbStuff/VX2Finder.exe
Hab Sie bei einem OnlienCheck und bei mir getestet. Die ist zu 99% kein Virus
Aber trotzdem auf eigene gefahr ;)


Wenn ja, dann ist der Link unten wahrscheinlich für dich die Lösung
Ich kann's selber allerdings nicht überprüfen, deswegen auf eigene Gefahr.

http://www.computercops.biz/postx29019-0-15.html
bzw. dann der
http://www.pchell.com/support/look2me.shtml

Schick mir bitte mal dann die beiden DLL-Files gezippt mike_hangover@gozomail.com (MeineFake-EMailAdresse)

Viel Glück

Melde dich auf jedenfall, wenn's futzt .Das Problem haben zur Zeit ziemlich viele ;)

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 23.04.2004 um 21:38 Uhr von paff editiert.
Seitenanfang Seitenende
23.04.2004, 21:52
Moderator

Beiträge: 7799
#6 Falls du probleme damit haben solltest einen look2me Hijacker mit Software von look2me zu entfernen, kannst du es auch hiermit versuchen:
http://www.spywareinfo.com/~merijn/files/kill2me.zip

Ich hoffe paff hat recht und es klappt, immerhin war er so hartnaeckig mit der Recherche.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
23.04.2004, 23:23
Member

Themenstarter

Beiträge: 32
#7 Hallo paff, raman,

ich habe echt die Faxen dicke!!!! Das Offline bereinigen gestern hat nix gebracht:

Hier nun das neue "log":

F:\WINDOWS\ServicePackFiles\i386\msconfig.exe
F:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINDOWS\System32\mgk.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINDOWS\System32\mgk.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINDOWS\System32\mgk.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINDOWS\System32\mgk.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINDOWS\System32\mgk.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINDOWS\System32\mgk.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {43966844-CA96-47DF-BD55-0FC3A552776C} - F:\WINDOWS\System32\mgk.dll
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - F:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] F:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [PTBSync] F:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\System32\\NeroCheck.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "F:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: GENO lite ZV Fälligkeiten.lnk = F:\WINLITE\ZAWF.EXE
O4 - Startup: HotSync Manager.lnk = F:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Mobile User VPN.lnk = F:\Programme\WatchGuard\Mobile User VPN\SafeCfg.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: @F:\Programme\Messenger\Msgslang.dll,-61144 (HKLM)
O9 - Extra 'Tools' menuitem: @F:\Programme\Messenger\Msgslang.dll,-61144 (HKLM)
O15 - Trusted Zone: http://*.windowsupdate.microsoft.com
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {69432678-2906-2705-1128-068943397621} -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38089.2382060185
O17 - HKLM\System\CCS\Services\Tcpip\..\{10F5846B-D3C5-4FF5-AEC8-42AC20041FB3}: NameServer = 134.102.20.20,0.0.0.0
O17 - HKLM\System\CS1\Services\Tcpip\..\{10F5846B-D3C5-4FF5-AEC8-42AC20041FB3}: NameServer = 134.102.20.20,0.0.0.0
O17 - HKLM\System\CS2\Services\Tcpip\..\{10F5846B-D3C5-4FF5-AEC8-42AC20041FB3}: NameServer = 134.102.20.20,0.0.0.0

sofort nach mgk.cpy.dll gesucht -----> nicht gefunden!!! auch dann mit V2xFinder.exe

Log for VX2.BetterInternet File Finder

Files Found---


Guardian Key---

User Agent String---

an paff: möchtest du die mgk.dll per mail haben? und kannst du daran was testen? dann sende ich sie dier gleich zu!

ansomsten nehme ich das hier nach der alten Methode wioeder raus?

Ich habe mit msconfig mir mal die Dienste angesehen und bin dabei über einen Pcamonservice vom Hersteller blu-series / germany gestoßen, kennt das einer?

So viele Grüße von einen genervten TGorke

Ps. Und im Übrigen ich finde es echt klasse das Ihr hier in diesem Forum so bemüht seit einem zu helfen, das kenne ich auch anders! DANKE!!!!!!
Seitenanfang Seitenende
24.04.2004, 07:31
Member

Beiträge: 1095
#8 Hi TGorke

Tja , nun steh ich da.
Ich war mir ziemlich sicher, das es das war. ;)

Dann mußen wir halt weitersuchen.

Trotzdem glaube ich, das wir nah dran sind.
1. Kannst du mal bitte schauen ob du diesen Eintrag in der Registry hast.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Guardian]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\<xxxx>.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Version"="122"
"ID"="{30021035-50A4-4B54-B55E-7DA40D9FA554}"
"IDex"="N1"
oder so ähnlich


2. Hast du die "kill2me.zip" von "raman" schon ausprobiert.

Gruß paff

P.S.
Leider ist die Seite "gozomail" im Moment down und ich komm nicht an die Mails ran. Schick mir mal bitte die DLL gezippt (wichtig) an xxxxxxx@xxxx.xx(editiert)
Danke
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 24.04.2004 um 13:32 Uhr von paff editiert.
Seitenanfang Seitenende
24.04.2004, 09:20
Moderator

Beiträge: 7799
#9 Versuche es mal testweise mit dem kill2me cleaner und mit diesem scanner ftp://ftp.microworldsystems.com/download/tools/mwav.exe . Beides bitte im abgesicherten Modus
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
24.04.2004, 10:32
Member

Themenstarter

Beiträge: 32
#10 Hallo Paff,Raman

so die dll files sind gleich unterwegs an Deine andere Mail Adresse. Das kill2me habe ich laufen lassen....................Keine Befunde! Mache ich aber sofort noch mal nach der nächsten Infektion.

An den Link: ftp://ftp.microworldsystems.com/download/tools/mwav.exe bin ich nicht rangekommen IE zeigt nur die Eieruhr. Auch das versuche ich nachher noch einmal.

Da ich gleich zum Kunden muss, kann ich dort nun nicht weiter suchen. Wird so gegen 18:00 Uhr heute Abend weitergehen.

Mal wieder vielen Dank für Eure Tips und bis nachher!!!!

Gruß TGorke





Beides bitte im abgesicherten Modus
Dieser Beitrag wurde am 24.04.2004 um 12:17 Uhr von raman editiert.
Seitenanfang Seitenende
24.04.2004, 12:18
Moderator

Beiträge: 7799
#11 Nur zur Info, der Link funktioniert. Im zweifelsfalle von einem anderen Rechner aus herunterladen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
24.04.2004, 21:40
Member

Themenstarter

Beiträge: 32
#12 Hallo raman hallo paff,

sorry hat ein wenig länger gedauert bis ich nun dazu komme eine Info zu geben. Das Scan hat hier 2,0 Std. gelaufen bis eben!

Fazit: Ich gebe "vorsichtig" Entwarnung! Aber der Reihe nach:

- Pc wieder verseucht mit einer moajc.dll!

- Pc im abgesicherten Modus gestartet

- VX2Finder laufen lassen => ohne Befund

- Kill2me laufen lassen => ohne Befund

- Mwav laufen lassen = positiver Befund
Sat Apr 24 20:48:05 2004 => Total Number of Files Scanned: 49512
Sat Apr 24 20:48:05 2004 => Total Number of Virus(es) Found: 42
Sat Apr 24 20:48:05 2004 => Total Number of Disinfected Files: 0
Sat Apr 24 20:48:05 2004 => Total Number of Files Renamed: 2
Sat Apr 24 20:48:05 2004 => Total Number of Deleted Files: 25
Sat Apr 24 20:48:05 2004 => Total Number of Errors: 0
Sat Apr 24 20:48:05 2004 => Time Elapsed: 01:23:09
Sat Apr 24 20:48:05 2004 => Virus Database Date: 2004/04/24
Sat Apr 24 20:48:05 2004 => Virus Database Count: 90897

Sat Apr 24 20:48:06 2004 => Scan Completed.

Wie zu sehen ist hat er 25 Files gelöscht. Ist ein "log" von 5 MB!!!!!!!

Unter anderem sind folgene Trijaner genannt worden: Trojan.KillCMOS.I und Trojan.Win32.StartPage.fw

Ich muss das log aber noch mal durchsehen wollte Euch aber erst Bericht erstatten.

- In der DOS Box nach gesehen ob moajc.dll nach dem scannen weg ist! Ja ist weg!!!!

- CWS laufen lassen ==> positiver Befund..... das Tool zeigte die dll datei noch an! (obwohl nachweislich nicht da) Also Fix!

- Ad-Aware laufen lassen ==> ebenfalls positiver Befund ! grrrrrrrrrrr! also auch da fix!

- zu guter letzt HijackThis angewendet dort noch ein R0 und R1 Eintrag gelöscht! Leider in der Aufregung nicht gemerkt welcher!

- System neu hochgefahren

- CWS / AD-Aware / HijackThis sagen alles ist OK!

- 5 x IE 6.0 gestartet alles OK!

Also wir müssen wieder warten, aber das Kaspersky e Scan schein klasse zu sein. Ich dacht immer McAffee sei schon gut. Aber die haben nix gemeldet!

So also ich werde nacher berichten was nun entgültig los ist!

Viele Grüße
Seitenanfang Seitenende
24.04.2004, 21:47
Moderator

Beiträge: 7799
#13 Schreib noch, welche Viren es noch gefunden hat.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
24.04.2004, 22:12
Member

Themenstarter

Beiträge: 32
#14 Hallo raman,

so ich habe die "log" Datei durchgesehen und das rauskopiert was virentechnisch interessant ist!

Diese Tool ist das eine Testversion / Freeware oder wie ist das zu sehen, denn ich denke das könnte es gebracht haben.

Sat Apr 24 19:41:08 2004 => File F:\WINDOWS\system32\moagc.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted.
Sat Apr 24 19:41:08 2004 => File F:\WINDOWS\system32\moagc.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted.
Sat Apr 24 19:43:29 2004 => File C:\System Volume Information\_restore{9EC42188-6492-4EDC-AC81-B095E9BD71FC}\RP6\A0004249.COM infected by "Trojan.KillCMOS.l" Virus. Action Taken: File Deleted.
Sat Apr 24 19:45:04 2004 => File C:\System Volume Information\_restore{2DA8BB54-3C4B-4D21-A3CB-43BBC0758CA5}\RP73\A0016377.COM infected by "Trojan.KillCMOS.l" Virus. Action Taken: File Deleted.
Sat Apr 24 19:45:16 2004 => File C:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038929.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted.

Sat Apr 24 19:45:16 2004 => Scanning File C:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038938.dll
Sat Apr 24 19:45:16 2004 => File C:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038938.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted.

Sat Apr 24 19:45:16 2004 => Scanning File C:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038939.dll
Sat Apr 24 19:45:16 2004 => File C:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038939.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted.
Sat Apr 24 19:48:38 2004 => File C:\Müllplatz\Trojaner.zip infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted.
Sat Apr 24 20:01:50 2004 => File F:\Programme\hijackthis\backup-20040421-231242-224.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted.
Sat Apr 24 20:01:51 2004 => File F:\Programme\hijackthis\backup-20040422-231042-645.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted.
Sat Apr 24 20:01:51 2004 => File F:\Programme\hijackthis\backup-20040424-101216-699.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted.
Sat Apr 24 20:35:06 2004 => File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP155\A0036531.dll infected by "Trojan.Win32.StartPage.fo" Virus. Action Taken: File Deleted.
Sat Apr 24 20:35:06 2004 => File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP155\A0036535.alt infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted.
Sat Apr 24 20:35:23 2004 => File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP157\A0036605.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted.
Sat Apr 24 20:36:57 2004 => File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP171\A0038414.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted.
Sat Apr 24 20:37:00 2004 => File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP171\A0038429.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted.
Sat Apr 24 20:37:56 2004 => File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP176\A0038832.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted.
Sat Apr 24 20:38:01 2004 => File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038887.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted.
Sat Apr 24 20:38:06 2004 => File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038967.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted.

Sat Apr 24 20:38:06 2004 => Scanning File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038968.dll
Sat Apr 24 20:38:06 2004 => File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038968.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted.

Sat Apr 24 20:38:06 2004 => Scanning File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038969.dll
Sat Apr 24 20:38:06 2004 => File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038969.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted.

Sat Apr 24 20:38:06 2004 => Scanning File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038970.dll
Sat Apr 24 20:38:06 2004 => File F:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038970.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: File Deleted.
Sat Apr 24 20:38:32 2004 => File M:\Hacking\Bios\bios.zip infected by "Trojan.KillCMOS.l" Virus. Action Taken: File Deleted.
Sat Apr 24 20:38:33 2004 => File M:\Hacking\Bios\killcmos\KILLCMOS.COM infected by "Trojan.KillCMOS.l" Virus. Action Taken: File Deleted.
Sat Apr 24 20:38:50 2004 => File M:\Hacking\Webcracker\setup\WebCrack40.zip infected by "Win95.CIH.dam" Virus. Action Taken: File Renamed.
Sat Apr 24 20:47:51 2004 => File M:\System Volume Information\_restore{845921CC-4202-440A-8488-9E1F19D44FBD}\RP177\A0038971.COM infected by "Trojan.KillCMOS.l" Virus. Action Taken: File Deleted.

Gruß
Thomas Gorke
Seitenanfang Seitenende
24.04.2004, 22:21
Moderator

Beiträge: 7799
#15 Systemwiederherstellung. Da haetten wir auch eher drauf kommen koennen!;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: