Trojaner - Qhosts.apd trojan (werde noch narrisch)

Thema ist geschlossen!
Thema ist geschlossen!
#0
15.09.2004, 15:16
Member

Beiträge: 20
#76 Hi Sabina,
Antivir Ergebnis :

2147 Verzeichnisse wurden durchsucht
72870 Dateien wurden geprüft
24 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Viren bzw. unerwünschte Programme wurden gefunden

Bei Mwav.exe findet er gar nichs mehr !!! b.z.w. löscht nichs und benennt nichs um !!!

Ich benutze schon Firefox aber Outlook ( Firewall hab ich im Router )
nur das mit der "Systemwiederhertsllung" musste noch mal sagen !!! also austelln ??? aber warum ?

und dann bei meinen Bruder die HiJackThis sachen schick ich nachher, und sonst das selbe Programm durchführen wie ich bei mir gemacht habe ?
Seitenanfang Seitenende
15.09.2004, 15:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#77 Hallo @Dexion

Deaktiviere die Wiederherstellung (falls du XP hast)
(boote) und aktiviere sie wieder.(Sonst sind die Viren nach der naechsten Wiederherstellung wieder drauf....)
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924


Installiere den Antivirus (!)

Fuehre keine Programme aus, ohne vorher das HijackThis.Log zu posten ....(PC von deinem Bruder)

MFG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 15.09.2004 um 15:21 Uhr von Sabina editiert.
Seitenanfang Seitenende
15.09.2004, 17:23
...neu hier

Beiträge: 10
#78 @Sabina

TCPview protokolliert folgendes:

TCP junker:1575 junker:0 LISTENING
TCP junker:137 junker:0 LISTENING
TCP junker:138 junker:0 LISTENING
TCP junker:nbsession junker:0 LISTENING
TCP 192.168.120.254:137 junker:0 LISTENING
TCP 192.168.120.254:138 junker:0 LISTENING
TCP 192.168.120.254:nbsession junker:0 LISTENING
TCP b6094.b.pppool.de:137 junker:0 LISTENING
TCP b6094.b.pppool.de:138 junker:0 LISTENING
TCP b6094.b.pppool.de:nbsession junker:0 LISTENING
UDP junker:1575 *:*
UDP junker:nbname *:*
UDP junker:nbdatagram *:*
UDP 192.168.120.254:nbname *:*
UDP 192.168.120.254:nbdatagram *:*
UDP b6094.b.pppool.de:nbname *:*
UDP b6094.b.pppool.de:nbdatagram *:*


mslti64.exe habe ich nicht auf dem Rechner (höchstens mslt3032.dll)
wmmon32.exe habe ich nicht auf dem Rechner


Das steht in der hosts.sam:

# Copyright (c) 1998 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP stack for Windows98
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

Habe FxGaobot von Symantec laufen lassen - nichts.
Habe SpHjfix.exe laufen lassen - nichts.


Stinger meldet nichts; CLRAV ebenfalls nicht !
Habe noch DiskCleaner, Be Clean, RegCleaner und Spybot laufen lassen - nicht gefunden.

Aber.....AVG 6.0 meldet mir jetzt auf einmal Trojan horses Downloader.Small.6.I in C:\Recycled\1.exe


UND nun ???
Seitenanfang Seitenende
15.09.2004, 17:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#79 @Luvstruck

1.C:\Recycled\1.exe
der Virus\Trojaner speichert sich in den Ordner C:\RECYCLED (also "Papierkorb")
Loesche diese C:\Recycled\1.exe

2. Suche mal bitte eine:SCD.DLL und SCD1.DLL und SCam32.exe und ScMx32.exe
und in der Registry eine:
HKLM\Software\Sircam

3.Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.

Poste danach Virus Log Information
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 15.09.2004 um 17:55 Uhr von Sabina editiert.
Seitenanfang Seitenende
16.09.2004, 09:24
...neu hier

Beiträge: 10
#80 @Sabina

Die 1.exe wurde gelöscht, kommt aber irgendwann "automatisch" wieder.

SCD.DLL, SCD1.DLL, SCam32.exe und ScMx32.exe gibt es auf meiner Festplatte nicht, sind aber ALLE unter HKEY_USERES\.DEFAULT\Software\Windows\CurrentVersion\Explorer\DocFind Spec MRU aufgelistet !

HKLM\Software\Sircam ist nicht vorhanden.

eScan lasse ich jetzt gleich laufen - Virus Log Information kommt dann umgehend.

Danke für Deine Bemühungen
Luvstruck
Seitenanfang Seitenende
16.09.2004, 11:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#81 @Luvstruck

#ODER:
"W32.Sircam.Worm@mm"
http://www.symantec.com/avcenter/venc/data/w32.sircam.worm@mm.html

#ODER:
Trojaner"XWxload"
<XWxload.exe im c/temp (sieh mal ob du das findest)
<1.exe
<load.exe

#ODER:
c:\Recycled\1.exe - TrojanDownloader:Win32/Small.FO
...........................................................................................................
Loesche alle Temporary-Files:
leere den Inhalt (nicht den Ordner selbst loeschen)

# C:\Windows\Temp
# C:\Documents and Settings\<Your Profile>\Local Settings\Temporary Internet Files
# C:\Documents and Settings\<Your Profile>\Local Settings\Temp
# C:\Documents and Settings\<Any other users Profile>\Local Settings\Temporary Internet Files
# C:\Documents and Settings\<Any other users Profile>\Local Settings\Temp
# Leere den Papierkorb "Recycle Bin".


Poste dann das Viren-Log vom Escan (infizierte Pfade abkopieren) und vom HijackThis.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.09.2004 um 11:58 Uhr von Sabina editiert.
Seitenanfang Seitenende
16.09.2004, 15:12
Member

Beiträge: 20
#82 SO hi Sabina ,
Hier sind HiJackThis File (von meinen Bruder) : ( ich glaube ist alles verseucht lol ) sag am bessten alles was ich machen muss weiß ja jetzt wie es geht ! thx schon mal im Vorraus (aja und er hat den selben Trojaner drauf wie ich hatte !) :::

Logfile of HijackThis v1.98.2
Scan saved at 15:15:31, on 16.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Dit.exe
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\sysconf.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\inKline Global\PC Booster\pcbooster.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\virtualmemory.exe
C:\WINDOWS\DitExp.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\KLaus\LOKALE~1\Temp\Rar$EX00.593\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Video Process] sysconf.exe
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] C:\Programme\T-Online\Dialerschutz-Software\Defender.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSN UPDATERS] virtualmemory.exe
O4 - HKLM\..\RunServices: [Video Process] sysconf.exe
O4 - HKLM\..\RunServices: [MSN UPDATERS] virtualmemory.exe
O4 - HKCU\..\Run: [MSN UPDATERS] virtualmemory.exe
O4 - HKCU\..\RunServices: [MSN UPDATERS] virtualmemory.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab

P.s.: Habe den Trojaner mit Stinger entfernt, sage nun einfach was ich machen soll !
Dieser Beitrag wurde am 16.09.2004 um 15:25 Uhr von Dexion editiert.
Seitenanfang Seitenende
16.09.2004, 15:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#83 Hallo @Dexion

1. Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

2.fixe und sofort neustarten
O4 - HKLM\..\Run: [Video Process] sysconf.exe
O4 - HKLM\..\Run: [MSN UPDATERS] virtualmemory.exe
O4 - HKLM\..\RunServices: [Video Process] sysconf.exe
O4 - HKLM\..\RunServices: [MSN UPDATERS] virtualmemory.exe
O4 - HKCU\..\Run: [MSN UPDATERS] virtualmemory.exe
O4 - HKCU\..\RunServices: [MSN UPDATERS] virtualmemory.exe

neustarten

#Ueberuefe mit Kaspersky (poste das Ergebnis, bitte)
(Online)
http://www.kaspersky.com/remoteviruschk.html

C:\WINDOWS\System32\sysconf.exe
C:\WINDOWS\System32\virtualmemory.exe
......................................................................................................
#Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
..............................................................................................................
Abgesicherter Modus
http://www.bsi.de/av/texte/winsave.htm

#loeschen:
C:\WINDOWS\System32\sysconf.exe
C:\WINDOWS\System32\virtualmemory.exe

#und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.

Normalmodus:

##Antivirus (free)
http://www.free-av.de/
(konfigurieren: "alle Dateien" und "Heuristik": mittel)
Dann einen Vollscann machen.

Poste danach Virus Log Informationen und das neue HijackThis posten.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.09.2004 um 16:02 Uhr von Sabina editiert.
Seitenanfang Seitenende
16.09.2004, 15:41
Member

Beiträge: 20
#84 eeeh ja ok aber eine Frage muss man nicht auf C den Ordner Base aufmachen so hastes bei mir geschrieben ! also ich machs dann mal wie du es beschrieben hast ;;)
Dieser Beitrag wurde am 16.09.2004 um 15:41 Uhr von Dexion editiert.
Seitenanfang Seitenende
16.09.2004, 15:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#85 na klar (!) ;)
Lade den "eScan" erstelle vorher eine C:\ base und entpacke dort den Scanner
Stand ja auch geschrieben...hatte es nicht vergessen...

Vergiss bitte nicht,
C:\WINDOWS\System32\sysconf.exe
C:\WINDOWS\System32\virtualmemory.exe
mit Kaspersky zu pruefen, damit ich weiss, um welche Trojaner es sich namentlich handelt.

Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.09.2004 um 15:47 Uhr von Sabina editiert.
Seitenanfang Seitenende
16.09.2004, 15:53
Member

Beiträge: 20
#86 also was nun ???
in Bases oder in Base Muhahahahahha ;)

lase gerade dieses Kavperspro runter ;)
danach poste ich Daten sofort !

aber ich weiß nicht ob noch VIren drauf sind weil mit STINGER hab ich den selben Trojaner entfernt wie ich hatte !!!

C:\Window\system32\driver\etc\hosts
Found the QHosts.apd trojan !!!

udn nochwas wenn ich mit Kaverspro fertig gescannt habe soll ich es dann wieder runter machen ??? Weil 2 Viernsoftwares ist nichst so gut glaub ich !!!
Dieser Beitrag wurde am 16.09.2004 um 16:06 Uhr von Dexion editiert.
Seitenanfang Seitenende
16.09.2004, 16:01
...neu hier

Beiträge: 10
#87 @Sabina

Das einzige, was eScan schreibt, ist:
...Windows\Options\Cab\EBD.CAB tagged as not-a-virus: tod.DOS.Restart. No Action taken (?)
...Windows\Command\EBD\EBD.CAB tagged as not-a-virus: tod.DOS.Restart. No Action taken (?)
Programme\Password-Finder\PWFinder.dll as not-a-virus: Riskware.PSWTod.Find.a No Action taken

Kann die infizierten (?) Pfade nicht abkopieren, da das Viren-Log knappe 15 MB groß ist und ich nach dem öffnen dergleichen nicht navigieren kann. SORRY !

W32.Sircam.Worm@mm
Die von Dir genannten Schlüssel (...recycled\sirc32.exe bzw. get*, hot* usw.) gibt es in der Registry.

<%system%\sc?1.dll existiert nicht
<run32.exe existiert nicht

FixSirc.com meldet mir ebenfalls nichts.


Trojaner "XWxload"
XWload.exe existiert nicht (auch nicht unter c/temp)
1.exe existiert nicht
load.exe existiert nicht


Temporary-Files werden jeden abend gelöscht (DiskCleaner + BeClean)
Das gleiche gilt für Temporary Internet Files und für alles andere, was die Tools noch so löschen.


Hier nochmal TCPView:

TCP junker:1041 junker:0 LISTENING
TCP junker:1046 junker:0 LISTENING
TCP junker:137 junker:0 LISTENING
TCP junker:138 junker:0 LISTENING
TCP junker:nbsession junker:0 LISTENING
TCP 192.168.120.254:137 junker:0 LISTENING
TCP 192.168.120.254:138 junker:0 LISTENING
TCP 192.168.120.254:nbsession junker:0 LISTENING
TCP pdbn-d9b8d515.pool.mediaways.net:137 junker:0 LISTENING
TCP pdbn-d9b8d515.pool.mediaways.net:138 junker:0 LISTENING
TCP pdbn-d9b8d515.pool.mediaways.net:nbsession junker:0 LISTENING
UDP junker:1041 *:*
UDP junker:1046 *:*
UDP junker:nbname *:*
UDP junker:nbdatagram *:*
UDP 192.168.120.254:nbname *:*
UDP 192.168.120.254:nbdatagram *:*
UDP pdbn-d9b8d515.pool.mediaways.net:nbname *:*
UDP pdbn-d9b8d515.pool.mediaways.net:nbdatagram *:*

...und Hijack This:

Logfile of HijackThis v1.98.2
Scan saved at 15:56:35, on 16.09.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GRISOFT\AVG6\AVGSERV9.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\VERISIGN\NAVI\NAVIAGENT.EXE
C:\PROGRAMME\GRISOFT\AVG6\AVGCC32.EXE
C:\PROGRAMME\ATNOTES\ATNOTES.EXE
C:\WINDOWS\RSRCMTR.EXE
C:\PROGRAMME\WINAMP\WINAMP.EXE
C:\PROGRAMME\VERISIGN\NAVI\NAVICLIENT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER2.3\SMARTSURFER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
D:\- TEMP\HIJACKTHIS 1.98.2\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_2_0.DLL
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_2_0.DLL
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAMME\FLASHGET\JCCATCH.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FGIEBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [navi] "C:\Programme\VeriSign\NAVI\naviagent.exe" uimode=agentupdate
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb03.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe
O4 - HKCU\..\Run: [ATnotes.exe] C:\Programme\ATnotes\ATnotes.exe
O4 - Startup: Rsrcmtr.lnk = C:\WINDOWS\RSRCMTR.EXE
O4 - Startup: win-data 7 Zahlungserinnerung.lnk = C:\Programme\win-data 7\win-data pro Zahlungserinnerung.exe
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_all.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll


Abschließend:
Seit gestern habe ich keinerlei Meldungen (1.exe o.ä.) mehr gehabt.

Gruß
Luvstruck
Seitenanfang Seitenende
16.09.2004, 16:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#88 @Dexion

in C:\base....... Muhahahahahha ;)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.09.2004 um 16:04 Uhr von Sabina editiert.
Seitenanfang Seitenende
16.09.2004, 16:05
...neu hier

Beiträge: 10
#89 @Sabina


Ups, verschrieben


W32.Sircam.Worm@mm
Die von Dir genannten Schlüssel (...recycled\sirc32.exe bzw. get*, hot* usw.) gibt es in der Registry NICHT !!!
Seitenanfang Seitenende
16.09.2004, 16:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#90 Hallo @Luvstruck
Dann ist ja alles gut.

Wenn C:\Recycled\1.exe definitiv geloescht ist und die Temp-Dateien ebenfalls.

Falls wieder mal was ungewohnliches auftritt, (denn der Trojaner hat Veraenderungen am System vorgenommen), die man nicht mehr rueckgaengig machen kann, dann komme ins Forum. ;)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende