Trojaner - Qhosts.apd trojan (werde noch narrisch)Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
15.08.2004, 21:57
Member
Beiträge: 441 |
||
|
||
16.08.2004, 16:56
...neu hier
Beiträge: 3 |
#32
so ist es jetzt besser ?
Logfile of HijackThis v1.98.2 Scan saved at 16:56:13, on 16.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Norton Personal Firewall\IAMAPP.EXE C:\WINDOWS\System32\RunDll32.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AVWin\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVWin\AVGUARD.EXE C:\Programme\AVWin\AVWUPSRV.EXE C:\Programme\Norton Personal Firewall\NISUM.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Norton Personal Firewall\NISSERV.EXE C:\Programme\Winamp\winampa.exe C:\Programme\MSN Messenger\msnmsgr.exe D:\CD1\System\Setup.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Tommy Linde\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chat.at/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [iamapp] "C:\Programme\Norton Personal Firewall\IAMAPP.EXE" O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVWin\AVGNT.EXE /min O4 - HKLM\..\Run: [AVWUpd32] "C:\PROGRA~1\AVWin\Avwupd32.EXE" /min O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Norton Personal Firewall.lnk = ? O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O10 - Broken Internet access because of LSP provider 'avsda.dll' missing O17 - HKLM\System\CCS\Services\Tcpip\..\{651B3026-878F-4AB3-9DF2-A5E1BE73601E}: NameServer = 195.58.160.2 195.58.161.3 |
|
|
||
16.08.2004, 23:44
Ehrenmitglied
Beiträge: 29434 |
#33
@iSotr0niC
#Lade Spybot, um das Problem unter <010< zu loesen. http://www.safer-networking.org/de/download/index.html Dann poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.08.2004 um 23:45 Uhr von Sabina editiert.
|
|
|
||
17.08.2004, 17:54
...neu hier
Beiträge: 10 |
#34
Hallo Ihr Lieben,
ich kämpfe seit gestern auch mit Qhosts.apd, der bei Win2000 bei mir nur mit stinger zwar die Dateien erkannt, aber nie vollständig gelöscht wurde. Die Datei in WINNT/System32/svchost.exe läßt sich nicht löschen, auch der Prozess läßt sich im Taskmanager nicht beenden. Im hijack-Protokoll siehts so aus: Logfile of HijackThis v1.97.7 Scan saved at 17:41:26, on 17.08.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\UPS\WorldShip\Dbnt25sv.exe C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\wanmpsvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\FSI\F-Prot\F-StopW.EXE C:\Programme\FSI\F-Prot\F-Sched.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\WINNT\system32\MSlti64.exe C:\WINNT\system32\internat.exe C:\Temp\Security\hijackthis\HijackThis.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [Video Process] MSlti64.exe O4 - HKLM\..\RunServices: [Video Process] MSlti64.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check(4).lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV04.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38215.3241203704 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Was kann ich tun um dieses ding wieder loszuwerden? lg Kiesel |
|
|
||
17.08.2004, 18:18
Member
Beiträge: 441 |
#35
Hallo kiesel,
hier findest du die Lösung: http://www.sophos.de/virusinfo/analyses/w32agobotlz.html Les danach diese Links aufmerksam durch: http://www.trojaner-info.de/beschreibung.shtml http://de.wikipedia.org/wiki/Backdoor http://de.wikipedia.org/wiki/Trojaner_%28Computer%29 __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
17.08.2004, 22:55
...neu hier
Beiträge: 10 |
#36
Hallo Cidre und all ihr anderen
ich habe mit einem tool von F-Prot meine agobot virus bekämpft und bekomme jetzt auch mit stinger oder mwav keine fehlermeldungen mehr. alle Win-Updates sind installiert und ich habe einige Einträge in der regestry entfernt. Mein hijacklog sieht jetzt so aus, meint ihr man kann das jetzt durchgehen lassen? Logfile of HijackThis v1.98.2 Scan saved at 22:46:26, on 17.08.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\UPS\WorldShip\Dbnt25sv.exe C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\wanmpsvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\FSI\F-Prot\F-StopW.EXE C:\Programme\FSI\F-Prot\F-Sched.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\WINNT\system32\internat.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\wuauclt.exe C:\Temp\Security\Antivirprogr\hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check(4).lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV04.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll Die hijackthis.exe ist jetzt auch die aktuellste: Danke und lieben gruß Kiesel |
|
|
||
17.08.2004, 23:10
Ehrenmitglied
Beiträge: 29434 |
#37
@kiesel
#aktualisiere den IE http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 #Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess. Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten. Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren...SICHERHEITSRISIKO Start<Systemsteuerung<Verwaltung<Dienste #Falls du keinen Router hast, lade Sygate-Firewall http://smb.sygate.com/products/spf_standard.htm mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 17.08.2004 um 23:12 Uhr von Sabina editiert.
|
|
|
||
19.08.2004, 14:29
...neu hier
Beiträge: 10 |
#38
hallo noch mal,
ich hatte das selbe Qhost.Problem auf dem zweiten Rechner, da siehts mit dem hijack-prot nach diversen Säuberungsversuchen nicht ganz so toll aus. Kann da vieleicht auch mal jemand draufsehen? Danke schonmal vorweg Logfile of HijackThis v1.98.2 Scan saved at 13:44:22, on 19.08.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\Trirot.exe C:\Programme\Winamp\Winampa.exe C:\Programme\FSI\F-Prot\F-Sched.exe C:\Programme\Coolspot\Dialer Control\dc.exe C:\WINNT\system32\ctfmon.exe C:\Programme\Netscape\Netscape\Netscp.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\FSI\F-Prot\F-StopW.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX01.206\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Trirot] Trirot.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Coolspot\Dialer Control\dc.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm |
|
|
||
19.08.2004, 16:14
Ehrenmitglied
Beiträge: 29434 |
#39
@Kiesel
FIXE un dann neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html O4 - HKLM\..\Run: [Trirot] Trirot.exe neustarten Ueberpruefe mit kaspersky C:\WINNT\system32\Trirot.exe http://www.kaspersky.com/remoteviruschk.html #Lade eScan (entpacke in C:\bases http://www.mwti.net/antivirus/free_utilities.asp Nun suchst du eine "kavupd.exe" und anklicken. <Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) ---Gehe in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm <den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Scan clean" klicken. Danach die <Virus Log <Information posten. (ALLES was als <infiziert<gefunden wird) #Lade AdAware und Search&Destroy http://www.rokop-security.de/main/article.php?sid=703 #Scanne mit Spysweeper http://www.spysweeper.com/ #Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess. Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten. Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren...SICHERHEITSRISIKO Start<Systemsteuerung<Verwaltung<Dienste #loesche unter <Internetoptionen< die TemporaryInternetfiles. Und poste das neue Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 19.08.2004 um 16:16 Uhr von Sabina editiert.
|
|
|
||
20.08.2004, 12:28
...neu hier
Beiträge: 10 |
#40
So, hab ich jetzt alles gemacht und das log sieht so aus.
Ich hoffe, das system kann freigegeben werden. Logfile of HijackThis v1.98.2 Scan saved at 11:46:08, on 20.08.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Programme\FSI\F-Prot\fpavupdm.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Winamp\Winampa.exe C:\Programme\FSI\F-Prot\F-StopW.EXE C:\Programme\FSI\F-Prot\F-Sched.exe C:\Programme\Coolspot\Dialer Control\dc.exe C:\WINNT\system32\ctfmon.exe C:\Programme\Netscape\Netscape\Netscp.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\WinZip\WZQKPICK.EXE A:\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Coolspot\Dialer Control\dc.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm lieben gruß Kiesel |
|
|
||
20.08.2004, 14:17
Ehrenmitglied
Beiträge: 29434 |
#41
@kiesel
Nein, es ist noch nicht sauber. Fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm Gehe in die Registry Suche den Eintrag unter HKCU\Software\Microsoft\Internet Explorer\MainSearch Bar = HKLM\Software\Microsoft\Internet Explorer\MainSearch Bar= WAS STEHT DA ????? (geschuetzte Systemdateien sichtbar machen und, alle Dateien anzeigen einstellen) mit der Suchfunktion von Windows #Suche mal dll neueren Datums, oder von dem Datum, als du C:\WINNT\system32\Trirot.exe installiert hattest. Poste , welche dll neueren Datums du findest. #Lade AdAware und Search&Destroy http://www.rokop-security.de/main/article.php?sid=703 #Scanne mit Spysweeper http://www.spysweeper.com/ mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 20.08.2004 um 14:23 Uhr von Sabina editiert.
|
|
|
||
20.08.2004, 14:26
Member
Beiträge: 48 |
#42
hallo,
mein 30 Tage-Norton-Test ist abgelaufen, ich war eh nit zufrieden . Jetzt habe geE-scant und das hier gefunden. File C:\Dokumente und Einstellungen\prolordtx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C9AVCH2F\nethv32_EN_XP[1].cab tagged as not-a-virus:RiskWare.Dialer.E-Group.d. No Action Taken. File C:\Dokumente und Einstellungen\prolordtx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GDUF052V\EGCOMSERVICE_1044_pack_XP[1].cab tagged as not-a-virus:RiskWare.Dialer.E-Group.g. No Action Taken. MfG boghog |
|
|
||
20.08.2004, 15:04
Ehrenmitglied
Beiträge: 29434 |
#43
Hallo @boghog
Der Dialer muss manuell geloescht werden. Der Dialer ist laut Bezooka von dieser Gruppe Vendor Electronic Group <http://www.electronic-group.com/index_flash.htm< ........................................................................................................ Gehe in die Registry: Start<Ausfuehren<regedit # HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run <<<loesche, falls es existiert<'Instant Access' # HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ WinTrust \ Trust Providers \ Software Publishing \ Trust Database \ 0' # loesche rechts, wenn es existiert: 'electronic-group'. NEUSTARTEN LOESCHE: %SystemDir%\EGDHTML_1024.dll %SystemDir%\EGDial.dll %SystemDir%\ia.dll %SystemDir%\mseggrpid.dll Instant Access.lnk NoCreditCard.lnk C:\Dokumente und Einstellungen\prolordtx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C9AVCH2F\nethv32_EN_XP[1].cab C:\Dokumente und Einstellungen\prolordtx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GDUF052V\EGCOMSERVICE_1044_pack_XP[1].cab mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 20.08.2004 um 15:06 Uhr von Sabina editiert.
|
|
|
||
20.08.2004, 17:27
...neu hier
Beiträge: 10 |
#44
hallo sabina,
unter HKCU\Software\Microsoft\Internet Explorer\Main\Search Site steht folgendes: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch unter HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar steht folgendes: http://home.de.netscape.com/de/home/winsearch200.html neuere dlls sind folgende ( avcmhk2.dll in C:\Dokumente+Einstellungen/Admin/lokale Einstellg/Temp 04.08.04 engine.dll in C:\Dokumente+Einstellungen/user/lokale Einstellg/Temp 19.08.04 avcmhk2.dll in C:\Dokumente+Einstellungen/user/lokale Einstellg/Temp 04.08.04 avcmhk2.dll in c:\bases und was sagt dir das? jetzt scanne ich nochmal lg Kiesel |
|
|
||
20.08.2004, 23:18
Ehrenmitglied
Beiträge: 29434 |
#45
@Kiesel
avcmhk2.dll ist die Update-Basis fuer den eScan. Die Startseiten sind auch o.k.(in der Registry) Die Suchleiste von «mysearchbar.com» stammt von dem bekannten Adware-Verbreiter «Lop.com», welcher schon diverse Formen seiner Software im Netz kursieren lässt. Schau mal bitte, ob du bei den installierten Programmen ein Systemsteuerung/Software < Mysearch< <Lop.com' <LOP SEARCH' '<Window Searching' ‘<'Window Active' "<Browser Enhancer" "<Ultimate Browser Enhancer" findest. Wenn ja, deinstalliere es. .................................................................................... Was steht hier ???? HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Domain # HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP\Domain # HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Domain # HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{...check all interfaces...}\Domain HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Browser Helper Objects\ .............................................................. gibt es folgende Eintraege ? HKCR\Swish BrowserHelper HKCR\Swish BrowserHelper.1 HKCR\Swish ToolBand HKEY_LOCAL_MACHINE\Software * ckotetlllyllshz * kseateasteestoe * rhvlveasteafpr * ssaxstxoaieoagrh * TrinityAYB (lop/Trinity variant) und scanne mit ADAware, Spybot (sollte LOP -Spyware entfernen) und Spysweeper. Und mache den Free-scann mit Pestpatrol (loescht wahrscheinlich nichts, aber poste mir, was angezeigt wurde) http://www.pestpatrol.com/search/tips.asp mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 20.08.2004 um 23:48 Uhr von Sabina editiert.
|
|
|
||
Nur mal zwei Beispiele:
Backdoor.Agobot.gen =>
Zitat
Quelle: http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-w32.hllw.gaobot.gen.htmlZitat
Quelle: http://www.f-secure.de/v-desk/trdlsmal.shtmlEntscheide selbst deine weitere Vorgehensweise, ob du diesen System noch vertrauen kannst.
Ich, an deiner Stelle, würde die sicherste Lösung nehmen und das System neuaufsetzen.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung