Trojaner - Qhosts.apd trojan (werde noch narrisch)Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
21.09.2004, 09:42
Ehrenmitglied
Beiträge: 29434 |
||
|
||
26.09.2004, 23:01
...neu hier
Beiträge: 6 |
#122
Hallo Sabina,
was´konnte ich damit tun? Wie ich gelesen habe, Stinger kann damit nichts zu tun... konntest du auch mir etwas empfehlen? Ildiko? Slowakei Mein log-file schreibt: Logfile of HijackThis v1.97.7 Scan saved at 21:35:17, on 26.9.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\WINDOWS\System32\xwinxrpc32.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\msgrsv32.exe C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\il_dee\LOCALS~1\Temp\Rar$EX0s.500\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zoznam.sk/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Program Files\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKLM\..\Run: [win] xwinxrpc32.exe O4 - HKLM\..\Run: [Messenger] C:\WINDOWS\System32\msgrsv32.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\RunServices: [win] xwinxrpc32.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) |
|
|
||
26.09.2004, 23:17
Ehrenmitglied
Beiträge: 29434 |
#123
Hallo @il_dee
Fixe mit dem HijackThis, dann neustarten: O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [win] xwinxrpc32.exe O4 - HKLM\..\Run: [Messenger] C:\WINDOWS\System32\msgrsv32.exe O4 - HKLM\..\RunServices: [win] xwinxrpc32.exe neustarten Das eScan AV Toolkit (mwav.exe) herunterladen, http://www.mwti.net/antivirus/free_utilities.asp die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. <i den abgesicherten Modus gehen http://www.bsi.de/av/texte/winsave.htm und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives folgende Haken : [x] Memory [x] Registry [x] Startup Folders [x] System Folders [x] Services [x] Drive (x) All Local Drives [x] Folder [C:\WINDOWS] [x] Include SubDirectory <und "Scan clean" klicken. <Gehe wieder in den Normalmodus und scanne noch mal. <Poste danach Virus Log Information: (aus Viewer abkopieren) was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal ....................................................................................................... #Wiederherstellung deaktivieren http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 #NT- Dienste sicher konfigurieren www.dingens.org #<Agnitum: Outpost Firewall Outpost von Agnitum gibt es auch als free-Version. http://www.agnitum.com/download/outpost1.html <Outpost Firewall Spezial Deutschsprachige Anleitungen zur Installation und Konfiguration von Outpost auf brain-pro.de. http://www.brain-pro.de/outpostspezial.htm #Antivirus (free) laden http://www.free-av.de/ Konfigurieren.<alle Dateien und Heuristik: mittel(im Scanner UND im Guard (!) und noch mal einen Komplettscann machen mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 26.09.2004 um 23:21 Uhr von Sabina editiert.
|
|
|
||
27.09.2004, 23:43
...neu hier
Beiträge: 6 |
#124
Hallo Sabina, danke fur dein Antwort, ich habe alles gemacht als du mir geschrieben hast.
mwav.exe hat mir 700 .doc Files gefunden (wahrscheinlich weil die Files Osteuropische Buschstaben enthalten?!?), auf die es mit Satz: "infected by "BkCln.Unknown" Virus. Action Taken: File Renamed." reagierte. Ist es OK? Ausserdem waren da noch diese Sachen: File C:\WINDOWS\system32\drivers\etc\hosts infected by "Trojan.Win32.Qhost" Virus. Action Taken: File Deleted. File C:\WINDOWS\system32\msgrsv32.exe infected by "TrojanProxy.Win32.Ranky.aj" Virus. Action Taken: File Renamed. File C:\WINDOWS\system32\xwinxrpc32.exe infected by "Backdoor.Agobot.gen" Virus. Action Taken: File Renamed. File C:\Program Files\MyWay\myBar\1.bin\NPMYWAY.DLL tagged as not-a-virus:AdvWare.Toolbar.MyWay.e. No Action Taken. File D:\hardrisk-D\e-books\DISK_SK Fenomén E-book - Oplatí sa cítat knihy na monitore.mht infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. File D:\hardrisk-D\getrt45d.exe tagged as not-a-virus:AdvWare.Gator. No Action Taken. Ich denke ich sollte das Getright loschen. Aber was ist dieser AdvWare.Toolbar.MyWay.e? Der neuer hijack sieht so aus: Logfile of HijackThis v1.97.7 Scan saved at 23:17:10, on 27.9.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\System32\ctfmon.exe C:\base\mwavscan.com C:\base\kavss.exe C:\WINDOWS\explorer.exe C:\DOCUME~1\il_dee\LOCALS~1\Temp\Rar$EX04.s00\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zoznam.sk/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Program Files\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) Was meinst du? Wie sieht es jetzt aus? THX 4 help il_dee |
|
|
||
27.09.2004, 23:50
Ehrenmitglied
Beiträge: 29434 |
#125
@il_dee
Fixe: O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Program Files\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL neustarten Ploetzlich hast du einen Proxy...ist das so eingestellt , also korrekt ???? R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost #Deaktivieren Wiederherstellung XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" #Deinstalliere: C:\Program Files\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL und loesche:MYSRCHAS.DLL Open 'Add/Remove Programs' in the Control Panel. Select the 'My Search Bar' (MySearch variant), 'MyWay Speed Bar' (MyWay) or 'My Web Search Bar' (MyWeb) entry and click 'Remove'. For the MyWeb variant, be sure to also remove 'Fun Web Products Easy Installer' #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. Files, die Adaware findet, können bedenkenlos gelöscht werden. #AboutBuster www.malwarebytes.biz/AboutBuster.zip Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen (evtl auch im abgesicherten Modus) #Hoster-Tool : http://members.aol.com/toadbee/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. #Datentraegerbereinigung: und Loeschen der Temporary-Dateien Disk Cleanup Wizard 1. Start<Ausfuehren<cleanmgr 2. Click Temporary Internet Files, O.K #ANTS 2.1 (ueberpruefe offenen Ports und poste es ) http://www.pcbusiness-online.de/common/dtt/file.php?areaid=12&orderby=Title&dsp_start=0&fileid=1547 poste das neue Log vom HijackThis. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.09.2004 um 23:59 Uhr von Sabina editiert.
|
|
|
||
28.09.2004, 00:55
...neu hier
Beiträge: 6 |
#126
Ich habe noch nicht alles beendet, aber:
1. "Ploetzlich hast du einen Proxy...ist das so eingestellt , also korrekt ???? R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost" - es ist nicht mehr da, ich weiss nicht was es bedeutete 2. "#Deinstalliere: C:\Program Files\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL und loesche:MYSRCHAS.DLL Open 'Add/Remove Programs' in the Control Panel. Select the 'My Search Bar' (MySearch variant), 'MyWay Speed Bar' (MyWay) or 'My Web Search Bar' (MyWeb) entry and click 'Remove'. For the MyWeb variant, be sure to also remove 'Fun Web Products Easy Installer'" - ich kann maniuell das MYSRCHAD.dll loeschen, abe durch "add/Remove programs" es geht nicht, ich bekomme Fehlermeldung C:\Program Files\MyWay\MyBar\1.bin\MYBAR.DLL could not be found. /die andere Files in der C:\Program Files\MyWay sollen da bleiben? Was sind es fur Sachen?/ 3. jetz bin ich beim AdAware-download... ich melde mich noch il_dee |
|
|
||
29.09.2004, 11:20
...neu hier
Beiträge: 10 |
#127
@ Sabina
Vielleicht kannst Du Dich noch daran erinnern: Ich hatte mal gepostet..... AVG meldet: Results of Complete Test, date and time 17.09.04 15:24:32 : Testing C:\Angebote etc Ser*hier nicht!* 401F-D249 C:\Angebote etc\MSLTI64.EXE Virus identified Worm/Agobot.29.R Test finished, duration 00:08:28.5 s 6070 objects tested, 1 found infected C:\Angebote etc ist eine Ordner, der über Netzwerk freigegeben ist. Seit ich den Ordner C:\Angebote etc in C:\Angebote umbenannt habe, habe ich keine Warnungen, Virenmeldungen o.ä. mehr erhalten. Vielleicht kann ich meinem Rechner nun wieder etwas mehr vertrauen :-) Grüße Luvstruck |
|
|
||
29.09.2004, 11:58
Ehrenmitglied
Beiträge: 29434 |
#128
Hallo @Luvstruck
Logfile of HijackThis v1.98.2 Scan saved at 15:50:17, on 17.09.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\GRISOFT\AVG6\AVGSERV9.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\VERISIGN\NAVI\NAVIAGENT.EXE C:\PROGRAMME\GRISOFT\AVG6\AVGCC32.EXE C:\PROGRAMME\ATNOTES\ATNOTES.EXE C:\WINDOWS\RSRCMTR.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\VERISIGN\NAVI\NAVICLIENT.EXE C:\PROGRAMME\WINAMP\WINAMP.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\FLASHGET\FLASHGET.EXE C:\PROGRAMME\WEBDE\SMARTSURFER2.3\SMARTSURFER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\REGEDIT.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE D:\- TEMP\- PROGZ\- PROGZ\HIJACKTHIS 1.98.2\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_2_0.DLL O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_2_0.DLL O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAMME\FLASHGET\JCCATCH.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FGIEBAR.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [navi] "C:\Programme\VeriSign\NAVI\naviagent.exe" uimode=agentupdate O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb03.exe O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\GRISOFT\AVG6\avgcc32.exe /STARTUP O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe O4 - HKCU\..\Run: [ATnotes.exe] C:\Programme\ATnotes\ATnotes.exe O4 - Startup: Rsrcmtr.lnk = C:\WINDOWS\RSRCMTR.EXE O4 - Startup: win-data 7 Zahlungserinnerung.lnk = C:\Programme\win-data 7\win-data pro Zahlungserinnerung.exe O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_link.htm O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_all.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll W32/Gaobot.UE #Es werden Veraenderungen im HOSTS vorgenommen: (mit dem NOTEPAD oeffnen) c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ Vermutlich hat der Virus deine HOSTS-Datei modifiziert. In diesem Fall enthält die Datei HOSTS unter %windir%\system32\drivers\etc Einträge in der Art von z.B. "127.0.0.1 liveupdate.symantec.com". Lösch alle diese Einträge, so dass nur noch die Zeile "127.0.0.1 localhost" sowie evtl. von dir gewünschte Werte zu sehen sind. manuell oder dieses Tool laden: #Hoster-Tool : http://members.aol.com/toadbee/hoster.zip Press 'Restore Original Hosts' and press 'OK' alles loeschen: ____________ 127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 www.trendmicro.com #sieh in der Registry, ob du folgende Eintraege findest: (wenn ja, rechts loeschen) HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Video Process HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Video Process #Antivirus deinstallieren und neu laden, denn der Trojaner kann ihn zerstoert haben. #Lade von dieser Site die Removaltools http://securityresponse.symantec.com/avcenter/venc/data/w32.gaobot.removal.tool.html http://securityresponse.symantec.com/avcenter/venc/data/w32.gaobot.uj.removal.tool.html #Ueberpruefe offnene Ports mit diesem Tool: #ANTS 2.1 http://www.pcbusiness-online.de/common/dtt/file.php?areaid=12&orderby=Title&dsp_start=0&fileid=1547 Falls du keinen Router hast, denke mal ueber die Installation einer Firewall nach...zum Beispiel: <Kerio Personal Firewall Kerio ist freeware für den privaten Gebrauch. http://www.kerio.com/kpf_download.html <Deutsches Handbuch Tiny Personal/Kerio Firewall 2.x Handbuch von Firewall-Info.net für die Version 2 von Kerio (vormals Tiny Personal). http://www.firewallinfo.de/handbuecher/tiny_kerio_20/ mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 29.09.2004 um 12:02 Uhr von Sabina editiert.
|
|
|
||
29.09.2004, 12:53
...neu hier
Beiträge: 6 |
#129
@ Sabina
So hier ist meine ganze Meldung: 1. "Ploetzlich hast du einen Proxy...ist das so eingestellt , also korrekt ???? R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost" - es ist nicht mehr da, ich weiss nicht was es bedeutete 2. "#Deinstalliere: C:\Program Files\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL und loesche:MYSRCHAS.DLL Open 'Add/Remove Programs' in the Control Panel. Select the 'My Search Bar' (MySearch variant), 'MyWay Speed Bar' (MyWay) or 'My Web Search Bar' (MyWeb) entry and click 'Remove'. For the MyWeb variant, be sure to also remove 'Fun Web Products Easy Installer'" - ich kann maniuell das MYSRCHAD.dll loeschen, abe durch "add/Remove programs" es geht nicht, ich bekomme Fehlermeldung C:\Program Files\MyWay\MyBar\1.bin\MYBAR.DLL could not be found. /die andere Files in der C:\Program Files\MyWay sollen da bleiben? Was sind es fur Sachen?/ 3. so. ich habe alles anderes so gemacht wie du mir geschrieben hast. Wie soll es weitergehen? Ich habe gemerkt, dass diese Proxy ist wieder da. Ist das Problem ernst? il_dee Ants: Port 135 offen. Wahrscheinlicher Trojaner: Kein Trojaner gefunden Port 445 offen. Wahrscheinlicher Trojaner: Kein Trojaner gefunden Port 1025 offen. Wahrscheinlicher Trojaner: Kein Trojaner gefunden Port 1027 offen. Wahrscheinlicher Trojaner: Kein Trojaner gefunden Port 3001 offen. Wahrscheinlicher Trojaner: Kein Trojaner gefunden Port 3002 offen. Wahrscheinlicher Trojaner: Kein Trojaner gefunden Port 3003 offen. Wahrscheinlicher Trojaner: Kein Trojaner gefunden Port 5000 offen. Wahrscheinlicher Trojaner: Socket23 mein hijack: Logfile of HijackThis v1.97.7 Scan saved at 1:55:42, on 28.9.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\il_dee\LOCALS~1\Temp\Rar$EX04.i00\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE |
|
|
||
29.09.2004, 15:30
Ehrenmitglied
Beiträge: 29434 |
#130
Hallo @il_dee
Fixe: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost neustarten #Gehe in die Registry Start<Ausfuehren<regedit --««poste, ob es einen Eintrag rechts neben diesen Schluesseln gibt: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Internet Settings] Value Name: "ProxyServer", "ProxyEnable", "ProxyOverride" ___________________________________________________________________ #In der Taskleiste rufe auf: Start -> Einstellungen -> Systemsteuerung auf # Doppelklick auf Internetoptionen # Klicke auf Verbindungen<Einstellungen fuer das lokale Netzwerk (LAN) Nimm das Haekchen von : Proxyserver verwenden < raus !!! __________________________________________________________________________ #Loesche: <D:\hardrisk-D\getrt45d.exe <NPMYWAY.DLL <C:\WINDOWS\system32\msgrsv32.exe #Lade dieses Tool und fuehre es aus: Hoster-Tool : http://members.aol.com/toadbee/hoster.zip Press 'Restore Original Hosts' and press 'OK' #Deinstalliere voruebergehend deinen Virenscanner "Grisoft\AVG6" (ist wahrscheinlich zerstoert) und lade: #Antivirus (free) laden http://www.free-av.de/ Konfigurieren.<alle Dateien und Heuristik: mittel (im Scanner UND im Guard (!) und noch mal einen Komplettscann machen #Scanne noch mal mit "escan" im Normalmodus und poste alles, was noch gefunden wurde. mfg Sabina _________________________________________________________________________ http://www.winguides.com/registry/display.php/292/ C:\WINDOWS\system32\msgrsv32.exe infected by "TrojanProxy.Win32.Ranky.aj" http://vic.zonelabs.com/tmpl/body/CA/virusDetails.jsp?VId=38225 http://www.lrz-muenchen.de/services/netzdienste/proxy/socks-config/ __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 29.09.2004 um 16:16 Uhr von Sabina editiert.
|
|
|
||
30.09.2004, 03:06
...neu hier
Beiträge: 6 |
#131
@Sabina
1. in Registry ich habe nur einen von der drei: "ProxyEnable". Rechts ist REG_DWORD und 0x00000000(0) geschrieben 2. "#In der Taskleiste rufe auf: Start -> Einstellungen -> Systemsteuerung auf # Doppelklick auf Internetoptionen # Klicke auf Verbindungen<Einstellungen fuer das lokale Netzwerk (LAN) Nimm das Haekchen von : Proxyserver verwenden < raus !!!!" Ich hatte kein Hackhen da!!! 3. escan-Resultat: 700-mal hat Virus gemeldet, wieder den "BkCln.Unknown" bei .doc dokumenten. Einige Beispiele: File C:\Documents and Settings\All Users\Start Menu\Programs\Nástroje balíka Microsoft Office\Aktivovat produkt.lnk infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. File C:\Documents and Settings\All Users\Start Menu\Otvorit dokument balíka Office.lnk infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. File C:\Documents and Settings\All Users\Documents\Ericsson\ERICSSON SLOVAKIA spol-ponuka - Rožnava-základy.doc infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. File C:\Documents and Settings\All Users\Documents\Ericsson\ERICSSON SLOVAKIA spol-ponuka - Rožnava.doc infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. Ausserdem war alles OK. |
|
|
||
30.09.2004, 10:18
Ehrenmitglied
Beiträge: 29434 |
#132
Hallo@il_dee
Poste bitte noch mal das aktuelle Log vom HijackThis...um zu sehen, ob der Proxy weg ist. (ich hoffe, dass der Escan deine Dokumente nicht unbrauchbar gemacht hat......) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.09.2004 um 10:19 Uhr von Sabina editiert.
|
|
|
||
30.09.2004, 18:33
...neu hier
Beiträge: 6 |
#133
@Sabina
Hallo, ich denke die Dokumente sind OK. (naturlich ich habe sie alle nicht kontrolliert) Mein hijack-log: Logfile of HijackThis v1.97.7 Scan saved at 18:25:57, on 30.9.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AVPersonal\AVGUARD.EXE C:\Program Files\AVPersonal\AVWUPSRV.EXE C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\AVPersonal\AVGNT.EXE C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\System32\ctfmon.exe C:\DOCUME~1\il_dee\LOCALS~1\Temp\Rar$EX0s.d10\HijackThis.exe C:\WINDOWS\System32\wuauclt.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE Es konnte schon OK sein, oder? il_dee |
|
|
||
30.09.2004, 18:49
Moderator
Beiträge: 7805 |
#134
Das sieht schon nicht schlecht aus. Du koenntest noch dein Windows via www.windowsupdate.com aktualisieren. Aktualisiere vorher noch dein Antivir.
Alles weitere bitte per PM klaeren, da wir doch stark vom eigentlichen Thema abgekommen sind.... ....und zu! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
Fixe:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local>
O4 - HKLM\..\Run: [SchedulerMgr] C:\WINDOWS\qservice.exe /i
O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\svchst.exe /i
neustarten
1. Ueberpruefe bitte die zwei exe einzeln mit Kaspersky und poste das Ergebnis:
.Kaspersky (Online)
http://www.kaspersky.com/remoteviruschk.html
C:\WINDOWS\qservice.exe
C:\WINDOWS\svchst.exe
2.Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und "Scan clean" klicken.
Poste danach Virus Log Information:
was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal
mfg
Sabina
__________
MfG Sabina
rund um die PC-Sicherheit