lsass.exe / avserve.exe Problem = Virus: W32/Sasser.a » Lösung

Thema ist geschlossen!
Thema ist geschlossen!
#0
24.08.2004, 11:31
Member

Beiträge: 1095
#136 @DonDöna

Standardässig gibts die msconfig.exe unter Win2000 nicht. Man muß Sie seperat nachinstallieren.

Es gibt viel Trojaner/Würmer die sich einfach den Namen msconfig.exe geben.
Beispiele:
http://www.sysinfo.org/startuplist.php?filter=msconfig.exe

oder hier aufrufen und bei filename msconfig eingeben
http://www.windowsstartup.com/wso/search.php

Außerdem warum die msconfig bei jeden Windowsstart starten. Kannst du doch bei Bedarf von hand starten?

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
24.08.2004, 12:13
Member

Beiträge: 19
#137 ok, es ist jedenfalls die richtige msconfig.exe - eine ohne wurm / virus / adware... ;O)

das mit dem autostart stimmt allerdings!
Seitenanfang Seitenende
30.08.2004, 21:51
...neu hier

Beiträge: 3
#138 Hallo,
ich habe seit gestern schwierigkeiten mit meinem privaten netzwerk. die rechner können nicht mehr aufeinander zugreifen. im taskmanager findet sich lsass.exe.
kanns da irgendwelche zusammenhänge geben?
ein virenscan hat übrigens nichts gebracht (antivir).

danke schonmal für hilfe
Isi
Seitenanfang Seitenende
30.08.2004, 22:01
Member

Beiträge: 441
#139 @ Isi

Die lsass.exe ist ein wichtiger Systemprozess. http://www.reger24.de/prozesse/LSASS.EXE.php

Die Ursache dürfte daher an deinen Netzwerk liegen:
http://www.windows-netzwerke.de/

Aber zur Sicherheit kannst du mal ein Log-File von HiJackThis posten, um eventuelle Malware auszuschließen:
http://hjt.klaffke.de
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Dieser Beitrag wurde am 30.08.2004 um 22:01 Uhr von Cidre editiert.
Seitenanfang Seitenende
31.08.2004, 09:35
...neu hier

Beiträge: 3
#140 @ cidre

hallo,
danke schonmal für die antwort. ich hab allerdings keine ahnung was ein logfile von highjackthis ist. wenn du mir das erklären würdest, mach ichs gerne...
danke
Isi
Seitenanfang Seitenende
31.08.2004, 09:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#141 @isi

du laedst das HijackThis,
um eventuelle Malware auszuschließen:
http://hjt.klaffke.de

klickst drauf, dann scann<save und dieses Save-Log kannst du mit der Maus hier ins Forum kopieren.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.08.2004, 10:19
...neu hier

Beiträge: 3
#142 hallo,
das unten müsste dann mein entsprechendes savelog sein.
wäre dankbar wenn mir einer helfen kann, ich kann so nämlich nicht weiterarbeiten...
Isi


Logfile of HijackThis v1.98.2
Scan saved at 10:21:32, on 31.08.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\wanmpsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\PDesk\PDesk.exe
C:\Programme\PCI Audio Applications\Mixer.exe
C:\WINNT\dit.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\AOL 8.0a\aoltray.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Dokumente und Einstellungen\isi\Desktop\Win2k\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e55/suche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [C-Media Mixer] C:\Programme\PCI Audio Applications\Mixer.exe /startup
O4 - HKLM\..\Run: [dit] dit.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0a\aoltray.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: SchnapperPlus - {D6243B39-211B-440D-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPlus\SchnapperPlus.exe
Seitenanfang Seitenende
31.08.2004, 10:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#143 Das Log ist sauber, also an einem Virus liegt es bestimmt nicht.
Versuche mal folgendes:
1. Mache die WindowsUpdates (SP2)
2. Deaktiviere dann (kurz)den Zonealarm .

3. Ueberpruefe, ob die Dienste\Freigaben richtig konfiguriert sind.
--- Datei - und Druckerfreigabe aktiviert und an TCPIP binden----

Auf PCs "Systemsteuerung" in der aufrufen und klicken auf "Ordneroptionen" klicken. In den "Ordneroptionen" klicke auf den Reiter "Ansicht", deaktiviere hier die erweiterte Einstellung "Einfache Dateifreigabe verwenden" und bestätige sie die Änderung mit "OK".
http://www.dslclub.de/forum/archive/index.php/t-59165Kann_auf_PC_im_Netzwerk_nicht_zugreifen.html

4.Die Ursache dürfte daher an deinen Netzwerk liegen:
http://www.windows-netzwerke.de/
http://www.wer-weiss-was.de/faq113/entry451.html
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 31.08.2004 um 10:47 Uhr von Sabina editiert.
Seitenanfang Seitenende
31.08.2004, 10:42
Member

Beiträge: 1095
#144 @isi

Im Log steht zumindest nichts "böses". Sieht normal aus.


Scheint doch ein hardware Prob zu sein.

oder lioegts an der Personal Firewall
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe

gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
31.08.2004, 16:09
Member

Beiträge: 19
#145 Ich bins nochmal... Wollte nochmal den Rechnermeiner Schwester durchchecken, denn der macht mir sorgen... Da Sind dateien im Task-Manager, die verdammt viel Speicher und CPU-Leistung beanspruchen, sich aber nicht beenden lassen. Vielleicht könnt ihr mir weiterhelfen, ob ich die in der Registry löschen darf / kann. Vielen Dank schonmal im Vorraus und nochmals vielen Dank, dass mein eigener PC nun wieder läuft ;)

Logfile of HijackThis v1.98.2
Scan saved at 16:03:13, on 31.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Common files\updmgr\updmgr.exe
C:\Programme\BullGuard\bgnewsag.exe
C:\Programme\Winamp\winampa.exe
C:\WINNT\system32\internat.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Arne\uptime-project\client.exe
C:\Programme\ICQ\Icq.exe
C:\WINNT\explorer.exe
C:\Programme\Gemeinsame Dateien\BullGuard\BullGuard Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\BullGuard\BullGuard Scan Server\bdss.exe
c:\programme\bullguard\bdmcon.exe
C:\Programme\BullGuard\vsserv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Winamp\winamp.exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Core Library - {F281FFC7-6C63-4bf9-83F2-AB7A6157B109} - C:\WINNT\system32\KDP183e.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Kazaa Download Accelerator Updater] regsvr32 /s C:\WINNT\system32\kdpupd.dll
O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [BDMCon] C:\Programme\BullGuard\\bdmcon.exe
O4 - HKLM\..\Run: [BGNewsAgent] c:\programme\bullguard\bgnewsag.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Kazaa Download Accelerator Updater (required)] regsvr32 /s C:\WINNT\system32\KDP183e.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [eZmmod] C:\PROGRA~1\ezula\mmod.exe
O4 - HKCU\..\Run: [Uptime-Project] C:\Arne\uptime-project\client.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{EEE6A58A-C38E-4D9A-BECF-8023E98337C8}: NameServer = 192.168.0.1
Seitenanfang Seitenende
31.08.2004, 18:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#146 fixe

R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: Core Library - {F281FFC7-6C63-4bf9-83F2-AB7A6157B109} - C:\WINNT\system32\KDP183e.dll

O4 - HKLM\..\Run: [BDMCon] C:\Programme\BullGuard\\bdmcon.exe
O4 - HKLM\..\Run: [BGNewsAgent] c:\programme\bullguard\bgnewsag.exe
O4 - HKLM\..\Run: [Kazaa Download Accelerator Updater] regsvr32 /s C:\WINNT\system32\kdpupd.dll
O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [Kazaa Download Accelerator Updater (required)] regsvr32 /s C:\WINNT\system32\KDP183e.dll
O4 - HKCU\..\Run: [eZmmod] C:\PROGRA~1\ezula\mmod.exe
O4 - HKCU\..\Run: [Uptime-Project] C:\Arne\uptime-project\client.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - HKCU\..\Run: [eZmmod] C:\PROGRA~1\ezula\mmod.exe
O4 - HKCU\..\Run: [Uptime-Project] C:\Arne\uptime-project\client.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

neustarten
____________________________________________________________________

#deinstalliere den C:\Programme\BullGuard

#Lade dafuer den Antivirus (free)
http://www.free-av.de/
Nach dem Installationsscann (den du in Ruhe abwarten musst, konfiguriere unter <Optionen< : alle Dateien, Guard aktivieren<
und mache einen Vollscann)

# Lade AdAware (free)
http://www.lavasoft.de/support/download/

#Lade eScan (entpacke in C:\bases..die du selbst erstellst)
http://www.mwti.net/antivirus/free_utilities.asp

Nun suchst du eine "kavupd.exe" und anklicken.(kann in der erstellten c:\base sein oder auch unter Start<Ausfuehren<%temp% )

<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
___________________________________________________________________
#Gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

<den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Scan clean" klicken.
notiere (oder kopiere es aus dem Viewer), was als <no action taken< angefuehrt wird und poste es)

#Danach kannst du noch TuneUp2004 laden (ist 30 Tage free)
http://www.tuneup.de/
und den PC reinigen , optimieren (stelle aber nichts an der Internetverbindungs-Optimierung rum)

#poste dann das Viren-Log von mwav.exe und das neue Log vom HijackThis

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 31.08.2004 um 19:09 Uhr von Sabina editiert.
Seitenanfang Seitenende
01.09.2004, 09:35
Member

Beiträge: 1095
#147 @Sabina
Check mal deinen Tip nochmal durch
O4 - HKLM\..\Run: [BDMCon] C:\Programme\BullGuard\\bdmcon.exe
O4 - HKLM\..\Run: [BGNewsAgent] c:\programme\bullguard\bgnewsag.exe
Ist Antiviren Programm

@DonDöna

Du sollest erstmal KaZaA dort deinstallieren und "KaZaA Lite" installieren
Da ist dann keine Spyware drin. Wenn du alles angegebene einfach nur Fixt , funktioniert der KaZaA sowieso nicht mehr.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
01.09.2004, 12:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#148 @Paff ;)
Das weiss ich, deshalb habe ich auch ein anderes Antiviren-Tool empfohlen.
Der Bullguard ist meiner Meinung nach nicht zu empfehlen.
Bei dem neuen KaZaa 2,6 ist es so dass KaZaa gleich 3 oder mehr Advertising Programme wie BullGurad oder PerfectNavigation installiert.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 01.09.2004 um 12:18 Uhr von Sabina editiert.
Seitenanfang Seitenende
01.09.2004, 15:48
Member

Beiträge: 19
#149 Ok, hab heute mal alles durchgejagt und folgende Logfiles erhalten:

File C:\WINNT\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken.

File C:\Dokumente und Einstellungen\User\Eigene Dateien\Downloads\2findmp3free.exe infected by "not-a-virus:AdvWare.180solutions" Virus. Action Taken: File Renamed.

File C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1HK32PJD\2findmp3free[1].exe infected by "not-a-virus:AdvWare.180solutions" Virus. Action Taken: File Renamed.

File C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3378V0D8\hp2[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

File C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AQ3F9P96\saveupdate[1].exe infected by "not-a-virus:AdvWare.SaveNow.m" Virus. Action Taken: File Renamed.

File C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I1WXA5IV\HP2[1].CHM infected by "TrojanDownloader.VBS.Psyme.y" Virus. Action Taken: File Deleted.

File C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I1WXA5IV\versteckt[1].htm infected by "Trojan.JS.NoClose.c" Virus. Action Taken: File Deleted.

File C:\RECYCLER\S-1-5-21-1202660629-2049760794-725345543-1000\Dc6\GatorStubSetup.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.

File C:\RECYCLER\S-1-5-21-1202660629-2049760794-725345543-1000\Dc6\GUninstaller.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.

File C:\RECYCLER\S-1-5-21-1202660629-2049760794-725345543-1000\Dc7\CMESys.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.

File C:\RECYCLER\S-1-5-21-1202660629-2049760794-725345543-1000\Dc7\GMTProxy.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.

File C:\WINNT\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken.

File C:\WINNT\browserxtras\pn\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: File Deleted.

---
Und hier ist die neue HiJackThis-Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 15:46:40, on 01.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Arne\uptime-project\client.exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Kazaa Download Accelerator Updater] regsvr32 /s C:\WINNT\system32\kdpupd.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Uptime-Project] C:\Arne\uptime-project\client.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{EEE6A58A-C38E-4D9A-BECF-8023E98337C8}: NameServer = 192.168.0.1
Seitenanfang Seitenende
01.09.2004, 15:50
Member

Beiträge: 1095
#150 @Sabina
Ließ dir das mal genauer durch
http://www.trojaner-board.de/archive/index.php/t-4900.html

bdmcon.exe
ist laut http://www.windowsstartup.com/wso/search.php
sogar BitDefender antivirus

O4 - HKCU\..\Run: [Uptime-Project] C:\Arne\uptime-project\client.exe
Das Uptime Project ist z.B. auch Blödsinn, aber wer es mag soll's machen , es ist nämlich alles aber keine Spyware.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende