Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: neuer blaster???

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.01.2004, 13:26   #1
bigconfusion
 
neuer blaster??? - Beitrag

neuer blaster???



Mein Rechner zeigt alle Anzeichen eines neuen Blasters.

Das bekannte Fenster popt auf und schaltet den Rechner nach einer Minute ab.

Bei mir wird as zum Problem weil ich ihn trotz Befolgung aller Hinweise von Symantec und Microsoft nicht runterkriege.

Ich hab mir inzwischen AntiVirus von Norton gekauft, es scheitert am Starten. Kurz nach dem Start beendet sich das Programm selbst. Die Hilfeseite von Symantec hilt mir nur bis zu dem Punkt an dem mein Rechner den Liveupdate verweigert. Andere Suchprogramme wie Spybot oder Adware zeigen keine Viren od. Trojaner an. Auch der initiale Scan von Norton erkennt nichts.

Was inzwischen auch nicht mehr funktioniert ist msconfig aufzurufen, das Fenster bleibt ca 5 sec offen, danach schaltet es sich selbst ab.

daneben habe ich noch ein Icon auf meinem Desktop "domer00046". Wie das alles zusammenhaengt weiss ich nicht, ich bin in all den Dingen unbedarft und um jeden guten Rat dankbar.

Wer kann helfen meine bigconfusion in no confusion umzuwandeln.

Alt 25.01.2004, 13:31   #2
*Christian*
Gast
 
neuer blaster??? - Beitrag

neuer blaster???



Also:
Erstmal willkommen im Forum.
Spybot und Ad-aware erkennen keine bzw. nur sehr vereinzelte Trojaner.


Lade dir mal bitte HijackThis und poste dein Log.:
http://www.merijn.org/downloads.html

Zusätzlich kannst du auch einen Online-Scan machen:
http://de.trendmicro-europe.com/ente...all_launch.php
__________________


Alt 25.01.2004, 13:45   #3
Domino
 
neuer blaster??? - Beitrag

neuer blaster???



DSL oder Modem ?

Wenn Modem mach mal einen Scan mit yaw


Domino
__________________
__________________

Alt 25.01.2004, 13:50   #4
Robi76
 
neuer blaster??? - Beitrag

neuer blaster???



Hi 2all.

domer 00046 ist laut Goggle ein dialer von Globaldialer. Yaw runterladen und scannen.

Grüsse aus Wien.

Alt 25.01.2004, 13:52   #5
bigconfusion
 
neuer blaster??? - Beitrag

neuer blaster???



danke fuer die schnellen Antworten:

hier mein log:

Logfile of HijackThis v1.97.7
Scan saved at 05:47:04, on 25.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Program Files\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\System32\msconfig32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Iomega\AutoDisk\ADService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Program Files\F-Secure Anti-Virus\backweb\4476822\Program\BackWeb-4476822.exe
C:\WINDOWS\System32\khooker.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\Program Files\syslaunch.exe
C:\program files\support.com\bin\tgcmd.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Yahoo!\browser\ybrwicon.exe
C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
C:\Program Files\MSI\Live Update 3\LMonitor.exe
C:\WINDOWS\DitExp.exe
C:\PROGRA~1\Yahoo!\browser\ycommon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Palm\HOTSYNC.EXE
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Program Files\SBC\Connection Manager\CManager.exe
C:\PROGRA~1\BROADJ~1\CORREC~1\CCD.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Axel\Local Settings\Temporary Internet Files\Content.IE5\ABMBYHUR\HijackThis[1].exe
C:\Program Files\F-Secure Anti-Virus\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure Anti-Virus\Anti-Virus\fssm32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.medion.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = ,
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = ,
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Common\ycomp5_1_6_0.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Common\ycomp5_1_6_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [iehelper] C:\Program Files\syslaunch.exe
O4 - HKLM\..\Run: [tgcmdprovidersbc] "c:\program files\support.com\bin\tgcmd.exe" /server /startmonitor /deaf /nosystray
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [YBrowser] C:\Program Files\Yahoo!\browser\ybrwicon.exe
O4 - HKLM\..\Run: [IPInSightMonitor 01] "C:\Program Files\SBC Yahoo!\Connection Manager\IP InSight\IPMon32.exe"
O4 - HKLM\..\Run: [auwaknb] rundll32 C:\WINDOWS\System32:auwaknb.dll,Init 1
O4 - HKLM\..\Run: [ADUserMon] C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [Microsoft Config Loader] msconfig32.exe
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 3.8\THGuard.exe"
O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Anti-Virus\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\RunServices: [Microsoft Config Loader] msconfig32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [HistoryKill] C:\Program Files\HistoryKill\histkill.exe /startup
O4 - HKCU\..\Run: [sws.exe] c:\program files\GlobalDialer\domer00046\gd-domer00046_de.exe -remove
O4 - HKCU\..\Run: [YAW starten] "C:\Program Files\YAW 3.5\yawguard.exe"
O4 - HKLM\..\RunOnce: [*auwaknb] rundll32 C:\WINDOWS\System32:auwaknb.dll,Init 1
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE
O4 - Startup: PowerReg SchedulerV2.exe
O9 - Extra button: Yahoo! Login (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Login (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Real.com (HKLM)
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/downlo...?1074658781421
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/sbcy/yinst.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {9CF28A69-7659-4C51-BFD5-9ADE19E19EC3} (RegConfig Class) - http://download.yahoo.com/dl/install...od/yregcfg.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...704.1362962963
O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://download.yahoo.com/dl/installs/ymail/ymmapi.dll
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://download.yahoo.com/dl/installs/yab_af.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.dll
O16 - DPF: {D18F962A-3722-4B59-B08D-28BB9EB2281E} (PhotosCtrl Class) - http://photos.yahoo.com/ocx/us/yexplorer1_9us.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1DCF747-AC51-42E1-A83E-2481C380E57B}: NameServer = 63.203.35.55 206.13.28.12


Alt 25.01.2004, 13:57   #6
mmk
 
neuer blaster??? - Ausrufezeichen

neuer blaster???



Das ist ne Menge Holz. Eine Backdoor.Agobot-Infektion ist so gut wie "sicher". Ich poste dir gleich eine Auflistung von Dateien, die du dann an entsprechender Stelle prüfen kannst.
__________________
--> neuer blaster???

Alt 25.01.2004, 14:13   #7
bigconfusion
 
neuer blaster??? - Beitrag

neuer blaster???



ich nutze ein DSL modem.

beseitigt YAW richtig oder stellt er ihn unter quarataene?

Alt 25.01.2004, 14:15   #8
mmk
 
neuer blaster??? - Lächeln

neuer blaster???



YAW ist ein Erkennungs-/Entferungstool für Dialer, nicht jedoch für Netzwerkwürmer oder Backdoors. Näheres dazu - wie gesagt - gleich. [img]smile.gif[/img]

Zum Anfang bitte diese Datei...
C:\WINDOWS\System32\msconfig32.exe

...hier prüfen:
http://www.kaspersky.com/de/remoteviruschk.html

Das sollte den Agobot bestätigen.
__________________
Grüße, Markus

Alt 25.01.2004, 14:16   #9
*Christian*
Gast
 
neuer blaster??? - Beitrag

neuer blaster???



Beides.

Alt 25.01.2004, 14:18   #10
Shadow
/// Mr. Schatten
 
neuer blaster??? - Beitrag

neuer blaster???



Und bitte mach Deinem Nick-Namen nicht alle Ehre.

Viel hilft nicht immer viel.
Also installieren nicht MEHRERE Virenscanner, dass funktioniert nämlich in den seltesten Fällen wie Du gerade feststellst.

Also F-Prot ODER Symantec Antivirus und nicht beide.
Allerdings spricht nichts dagegen gelegentlich einen Online-Virenscanner (*Christians* Tip) zusätzlich darüber laufen zu lassen (wenn DSL-Flat hast).

...und kaufe nie wieder einen ALDI-PC [img]graemlins/huepp.gif[/img]
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 25.01.2004, 14:25   #11
mmk
 
neuer blaster??? - Ausrufezeichen

neuer blaster???



Das ist (zusätzlich zum Backdoor) einige Adware:

C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\Program Files\syslaunch.exe

O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [iehelper] C:\Program Files\syslaunch.exe


Womöglich noch ein Backdoor: Afcore:

O4 - HKLM\..\Run: [auwaknb] rundll32 C:\WINDOWS\System32:auwaknb.dll,Init 1
O4 - HKLM\..\RunOnce: [*auwaknb] rundll32 C:\WINDOWS\System32:auwaknb.dll,Init 1


Registry- Einträge zum Agobot:
O4 - HKLM\..\Run: [Microsoft Config Loader] msconfig32.exe
O4 - HKLM\..\RunServices: [Microsoft Config Loader] msconfig32.exe


Ein Dialer:

O4 - HKCU\..\Run: [sws.exe] c:\program files\GlobalDialer\domer00046\gd-domer00046_de.exe -remove
__________________
Grüße, Markus

Alt 25.01.2004, 14:30   #12
bigconfusion
 
neuer blaster??? - Beitrag

neuer blaster???



msconfig32 hat keine verdaechtigen viren,

ich habe auch noch msconfig32.exe.poly gefunden, sagt das was?

Alt 25.01.2004, 14:33   #13
mmk
 
neuer blaster??? - Ausrufezeichen

neuer blaster???



</font><blockquote>Zitat:</font><hr />Original erstellt von bigconfusion:
msconfig32 hat keine verdaechtigen viren</font>[/QUOTE]1.) Die benannte msconfig32.exe wäre selbst die Malware, also der Backdoor.
2.) Hast du diese Datei bei dem Kaspersky-Link geprüft? Ich kann nicht glauben, dass es nicht der Backdoor.Agobot ist.
__________________
Grüße, Markus

Alt 25.01.2004, 14:36   #14
bigconfusion
 
neuer blaster??? - Beitrag

neuer blaster???



Ja, ja wer den Schaden hat ...

was laesst sich denn noch alles aus dem log lesen, verheiratet? geschlecht, letzter eisprung?

Aldi heisst in USA scheinbar Costco, bisher dacht ich immer trader joe waer der Ami Aldi

Markus,

was mach ich mit all den Zeile, loeschen? und dann?

wird norton dann funktionieren? was Passiert mit dem blasterhaften verhalten meines rechners?

Alt 25.01.2004, 14:39   #15
bigconfusion
 
neuer blaster??? - Beitrag

neuer blaster???



ja ich habe sie bei kaspersky ueberprueft,

hier das resultat
Zu überprüfende Datei: msconfig32.exe


msconfig32.exe Komprimiert: PECompact
msconfig32.exe Ok

Statistiken:

--------------------------------------------------------------------------------
Bekannte Viren: 80657 Updated: 25.01.2004
Größe der Datei (Kb): 68 Scan-Zeit: 00:00:01
Geschwindigkeit (Kb/sek): 68 Viren-Bodies: 0
Archive: 0 Komprimiert: 1
Verzeichnisse: 0 Datei: 1
Verdächtigt: 0 Warnungen: 0

Antwort

Themen zu neuer blaster???
adware, antivirus, beendet, desktop, funktioniert, gekauft, guten, icon, keine viren, meinem, microsoft, neue, neuen, nicht, nicht mehr, norton, offen, problem, programm, rechner, scan, schaltet, spybot, starten., symantec, trojaner, trotz, viren, zeichen



Ähnliche Themen: neuer blaster???


  1. Neuer Rechner; Neuer Virenschutz & Windows 8 Secure-Einstellungen
    Antiviren-, Firewall- und andere Schutzprogramme - 12.10.2014 (21)
  2. Coupon Blaster entfernen
    Anleitungen, FAQs & Links - 14.05.2014 (2)
  3. W32.Blaster
    Plagegeister aller Art und deren Bekämpfung - 13.02.2014 (11)
  4. entfernen W32 blaster worm
    Log-Analyse und Auswertung - 16.09.2013 (36)
  5. Neuer Pc, neuer Anfang - Notwendige Schutzprogramme
    Antiviren-, Firewall- und andere Schutzprogramme - 24.08.2013 (3)
  6. w32/blaster.worm
    Plagegeister aller Art und deren Bekämpfung - 22.06.2013 (35)
  7. W32.Blaster.Worm
    Plagegeister aller Art und deren Bekämpfung - 30.04.2013 (3)
  8. W32/blaster.worm ?
    Plagegeister aller Art und deren Bekämpfung - 01.05.2012 (2)
  9. Wurm W32/blaster.worm
    Plagegeister aller Art und deren Bekämpfung - 14.07.2011 (5)
  10. Blaster?
    Log-Analyse und Auswertung - 07.05.2005 (11)
  11. blaster
    Plagegeister aller Art und deren Bekämpfung - 30.10.2004 (13)
  12. blaster nervt
    Plagegeister aller Art und deren Bekämpfung - 03.05.2004 (29)
  13. Blaster???
    Plagegeister aller Art und deren Bekämpfung - 06.02.2004 (11)
  14. Neue Blaster Variante?
    Plagegeister aller Art und deren Bekämpfung - 02.09.2003 (4)
  15. Fragen zu Blaster
    Plagegeister aller Art und deren Bekämpfung - 15.08.2003 (16)
  16. W32.Blaster und WIN98
    Plagegeister aller Art und deren Bekämpfung - 13.08.2003 (5)
  17. W.32 blaster worm
    Plagegeister aller Art und deren Bekämpfung - 12.08.2003 (9)

Zum Thema neuer blaster??? - Mein Rechner zeigt alle Anzeichen eines neuen Blasters. Das bekannte Fenster popt auf und schaltet den Rechner nach einer Minute ab. Bei mir wird as zum Problem weil ich ihn - neuer blaster???...
Archiv
Du betrachtest: neuer blaster??? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.