Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: bloodhound.w32.ep und sixa dialer o.ä.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.06.2005, 11:40   #1
Bouga85
 
bloodhound.w32.ep und sixa dialer o.ä. - Standard

bloodhound.w32.ep und sixa dialer o.ä.



Mein Norton 05 erkennt seit gestern bei mir den bloodhound.w32.ep

ausserdem kommt ab und zu ein einwahlprogramm, im fenster steht dann "verbinden mit sixa"
da ich aber dsl flat hab kann er sich nich einwählen aber während er es versucht ist mein PC sowas von lahm....

stimmts das der bloodhound nur ein Norton fehler ist und nicht sonderlich schlimm?

Alt 21.06.2005, 12:06   #2
Rene-gad
 
bloodhound.w32.ep und sixa dialer o.ä. - Standard

bloodhound.w32.ep und sixa dialer o.ä.



@Bouga85
Zitat:
stimmts das der bloodhound nur ein Norton fehler ist und nicht sonderlich schlimm?
Lt. dieser Seite handelt es sich um eine heuristsiche Definition. Bitte die Datei, wo der Virus gefunden wurde, bei http://virusscan.jotti.org/ überprüfen.
__________________


Alt 21.06.2005, 12:44   #3
Bouga85
 
bloodhound.w32.ep und sixa dialer o.ä. - Standard

bloodhound.w32.ep und sixa dialer o.ä.



Ich bin mir nicht sicher aber ich meine die datei war:

oleadm32.dll

ich finde diese datei aber nicht mehr und kann sie so nicht online scannen lassen
__________________

Alt 21.06.2005, 20:38   #4
Bouga85
 
bloodhound.w32.ep und sixa dialer o.ä. - Standard

bloodhound.w32.ep und sixa dialer o.ä.



also hab versucht die datei da online zu überprüfen.
aber da kommt nur eine weitere warnung von norton und passieren tut nichts.

Alt 21.06.2005, 20:44   #5
felix1
/// Helfer-Team
 
bloodhound.w32.ep und sixa dialer o.ä. - Standard

bloodhound.w32.ep und sixa dialer o.ä.



Wenn Du die Datei nicht zu Jotti bekommst, mache einen komletten eScan. Ich denke mal, wie Du es beschreibst, ist da noch mehr.
http://www.trojaner-board.de/showthread.php?t=17492
Poste dann die mit der find.bat erstellte Datei.


Alt 21.06.2005, 20:45   #6
chaosman
 
bloodhound.w32.ep und sixa dialer o.ä. - Standard

bloodhound.w32.ep und sixa dialer o.ä.



@Bouga85
poste bitte ein HJT logfile
http://www.trojaner-board.de/showthread.php?t=17493

chaosman
__________________
--> bloodhound.w32.ep und sixa dialer o.ä.

Alt 22.06.2005, 00:04   #7
Bouga85
 
bloodhound.w32.ep und sixa dialer o.ä. - Standard

bloodhound.w32.ep und sixa dialer o.ä.



Hier mein HijackThis Log-file

Logfile of HijackThis v1.99.1
Scan saved at 00:04:13, on 22.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\NAV2005\navapsvc.exe
D:\Programme\NAV2005\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Daily Weather Forecast\weather.exe
C:\WINDOWS\uljotxl.exe
D:\Programme\Quicktime\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
D:\Programme\Winamp\winampa.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ISTsvc\istsvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Programme\Winamp\winamp.exe
D:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com[/url]
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ShowBarObj Class - {79A002FB-C126-462D-B4A7-81D6B42D1666} - C:\Programme\ZUM\acrbat.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\NAV2005\NavShExt.dll
O2 - BHO: {92E1B3F7-0546-421E-9835-904D25B7BA66} - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - C:\WINDOWS\System32\winvbie.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\NAV2005\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Daily Weather Forecast] C:\Programme\Daily Weather Forecast\weather.exe
O4 - HKLM\..\Run: [7xaou4wD] C:\WINDOWS\uljotxl.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] D:\Programme\Corel Draw 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=062805 serial=DR12CNC-8322248-NFT lang=DE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\Quicktime\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Á³# L"h'þ9Ӝð3rÅWC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\uljotxl.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Office XP\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\OFFICE~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {54C75FB0-6B8B-4278-BF7B-77036F15A69E} - h**p://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1041_EN_XP.cab[/url]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113343398796[/url]
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Programme\NAV2005\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - D:\Programme\NAV2005\IWP\NPFMntor.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Programme\NAV2005\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Geändert von Bouga85 (23.06.2005 um 09:27 Uhr)

Alt 23.06.2005, 00:10   #8
Bouga85
 
bloodhound.w32.ep und sixa dialer o.ä. - Standard

bloodhound.w32.ep und sixa dialer o.ä.



hallo? wieso sagt keiner was zu meinem HJT LOG

Alt 23.06.2005, 00:32   #9
Haui45
 
bloodhound.w32.ep und sixa dialer o.ä. - Standard

bloodhound.w32.ep und sixa dialer o.ä.



Zitat:
Zitat von Bouga85
hallo? wieso sagt keiner was zu meinem HJT LOG
Hallo?!
Vielleicht, weil hier täglich massig User Hilfe suchen und einzelne Threads schon mal untergehen können. Auch gibt es hier kein fest angestelltes Team, sondern wir sind alle freiwillig hier.
Gegenfrage: Warum hast du die HjT-Anleitung nicht gelesen? Alle deine Links sind anklickbar.
Trotzdem will nicht mal nicht so sein.

Sypbot S&D updaten. Ad-Aware runterladen, installieren und updaten.

Starte den PC im abgesicherten Modus.

Deinstalliere, falls möglich, alle unseriöse Software über Systemsteuerung-> Software (Weather Forecast etc.)

Fixe mit HjT:

O2 - BHO: ShowBarObj Class - {79A002FB-C126-462D-B4A7-81D6B42D1666} - C:\Programme\ZUM\acrbat.dll
O2 - BHO: {92E1B3F7-0546-421E-9835-904D25B7BA66} - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - C:\WINDOWS\System32\winvbie.dll

O4 - HKLM\..\Run: [Daily Weather Forecast] C:\Programme\Daily Weather Forecast\weather.exe
O4 - HKLM\..\Run: [7xaou4wD] C:\WINDOWS\uljotxl.exe
O4 - HKLM\..\Run: [Á³# L"h'þ9Ӝð3rÅWC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\uljotxl.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe

O16 - DPF: {54C75FB0-6B8B-4278-BF7B-77036F15A69E} - http://h**p://akamai.downloadv3.com/...1041_EN_XP.cab

Lösche manuell: (s. auch eScan-Anleitung)
C:\Programme\ZUM\acrbat.dll
C:\Programme\PSGuard
C:\Programme\ISTsvc
C:\WINDOWS\uljotxl.exe
C:\Programme\Daily Weather Forecast
C:\WINDOWS\System32\winvbie.dll

Scanne mit Spybot S&D und Ad-Aware.

Scanne mit eScan und entferne die gefundene Malware wie beschrieben.

Verwende in Zukunft am besten nur noch Firefox, den du ja schon installiert hast.

Neues HjT-Log und die Virus-Log-Information von eScan posten. Problem gelöst?


P.S.: Evtl. ist auch dieser Thread für dich interessant (PSGuard.exe)

Alt 23.06.2005, 01:59   #10
Bouga85
 
bloodhound.w32.ep und sixa dialer o.ä. - Standard

bloodhound.w32.ep und sixa dialer o.ä.



Ich weiss das ihr viel zu tun habt und es ist mehr als klasse das es menschen gibt die sich so für uns laien einsetzten, wollte niemanden angreifen.
so, hier mein neues HJT LOG

Logfile of HijackThis v1.99.1
Scan saved at 01:54:45, on 23.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Quicktime\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
D:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\NAV2005\navapsvc.exe
D:\Programme\NAV2005\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = [url]h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url]h**p://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\NAV2005\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\NAV2005\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] D:\Programme\Corel Draw 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=062805 serial=DR12CNC-8322248-NFT lang=DE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\Quicktime\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Office XP\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\OFFICE~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113343398796
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Programme\NAV2005\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - D:\Programme\NAV2005\IWP\NPFMntor.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Programme\NAV2005\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe




Die LOG vom escan ist verdammt lang... ich weiss gar nicht ob die überhaupt hier reinpasst, wenn ich sie doch posten soll sagt bescheid, DANKE EUCH

Geändert von Bouga85 (23.06.2005 um 09:25 Uhr)

Alt 23.06.2005, 02:05   #11
Haui45
 
bloodhound.w32.ep und sixa dialer o.ä. - Standard

bloodhound.w32.ep und sixa dialer o.ä.



Bevor wir weitermachen:
  • Editiere die Links in den HijackThis-Logfiles! Verwende dazu den -Button!
  • Lies die Anleitung zu eScan, dort ist beschrieben, wie du die relevanten Infos posten kannst. Sollte es Probleme geben, wende diese Alternative an.

Alt 23.06.2005, 09:32   #12
Bouga85
 
bloodhound.w32.ep und sixa dialer o.ä. - Standard

bloodhound.w32.ep und sixa dialer o.ä.



Hier die escan infected files:

Thu Jun 23 01:39:02 2005 => File C:\WINDOWS\uninstIU.exe infected by "Trojan.Win32.Agent.eo" Virus! Action Taken: No Action Taken.

Thu Jun 23 01:41:43 2005 => File C:\DOKUME~1\Rene\LOKALE~1\Temp\12252.exe infected by "Trojan.Win32.Agent.eo" Virus! Action Taken: No Action Taken.

Thu Jun 23 01:41:44 2005 => File C:\DOKUME~1\Rene\LOKALE~1\Temp\18137.exe infected by "Trojan.Win32.Agent.eo" Virus! Action Taken: No Action Taken.

Thu Jun 23 01:42:02 2005 => File C:\DOKUME~1\Rene\LOKALE~1\Temp\k29XEi.exe infected by "Trojan-Downloader.Win32.IstBar.ka" Virus! Action Taken: No Action Taken.

Thu Jun 23 01:42:05 2005 => File C:\DOKUME~1\Rene\LOKALE~1\Temp\list141.exe infected by "Trojan-Downloader.Win32.Centim.an" Virus! Action Taken: No Action Taken.

Thu Jun 23 01:44:45 2005 => File C:\DOKUME~1\Rene\LOKALE~1\TEMPOR~1\Content.IE5\KEPKTW6P\istsvc[1].exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus! Action Taken: No Action Taken.

Thu Jun 23 01:44:52 2005 => Total Objects Scanned: 16989
Thu Jun 23 01:44:52 2005 => Total Virus(es) Found: 17
Thu Jun 23 01:44:52 2005 => Total Disinfected Files: 0
Thu Jun 23 01:44:52 2005 => Total Files Renamed: 0
Thu Jun 23 01:44:52 2005 => Total Deleted Objects: 0
Thu Jun 23 01:44:52 2005 => Total Errors: 87
Thu Jun 23 01:44:52 2005 => Time Elapsed: 00:08:43
Thu Jun 23 01:44:52 2005 => Virus Database Date: 2005/06/17
Thu Jun 23 01:44:52 2005 => Virus Database Count: 135140

Thu Jun 23 01:44:52 2005 => Scan Completed.

Alt 23.06.2005, 12:12   #13
Haui45
 
bloodhound.w32.ep und sixa dialer o.ä. - Standard

bloodhound.w32.ep und sixa dialer o.ä.



Bist du sicher, dass du alle Haken richtig gesetzt hast?



Ich kann es mir nicht vorstellen, denn ~8min Scandauer sind zu wenig.

Alt 23.06.2005, 15:24   #14
Bouga85
 
bloodhound.w32.ep und sixa dialer o.ä. - Standard

bloodhound.w32.ep und sixa dialer o.ä.



Habe nochmal neu gescannt, hier die infizierten dateien bei escan:

Thu Jun 23 01:39:02 2005 => File C:\WINDOWS\uninstIU.exe infected by "Trojan.Win32.Agent.eo" Virus! Action Taken: No Action Taken.

Thu Jun 23 01:41:43 2005 => File C:\DOKUME~1\Rene\LOKALE~1\Temp\12252.exe infected by "Trojan.Win32.Agent.eo" Virus! Action Taken: No Action Taken.

Thu Jun 23 01:41:44 2005 => File C:\DOKUME~1\Rene\LOKALE~1\Temp\18137.exe infected by "Trojan.Win32.Agent.eo" Virus! Action Taken: No Action Taken.

Thu Jun 23 01:42:02 2005 => File C:\DOKUME~1\Rene\LOKALE~1\Temp\k29XEi.exe infected by "Trojan-Downloader.Win32.IstBar.ka" Virus! Action Taken: No Action Taken.

Thu Jun 23 01:42:05 2005 => File C:\DOKUME~1\Rene\LOKALE~1\Temp\list141.exe infected by "Trojan-Downloader.Win32.Centim.an" Virus! Action Taken: No Action Taken.

Thu Jun 23 01:44:45 2005 => File C:\DOKUME~1\Rene\LOKALE~1\TEMPOR~1\Content.IE5\KEPKTW6P\istsvc[1].exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus! Action Taken: No Action Taken.

Thu Jun 23 13:12:12 2005 => File C:\Dokumente und Einstellungen\Rene\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count3.jar-2a1f473-735c7de3.zip infected by "Trojan.Java.ClassLoader.ai" Virus! Action Taken: No Action Taken.

Thu Jun 23 13:14:19 2005 => File C:\Dokumente und Einstellungen\Rene\Lokale Einstellungen\Temp\12252.exe infected by "Trojan.Win32.Agent.eo" Virus! Action Taken: No Action Taken.

Thu Jun 23 13:14:20 2005 => File C:\Dokumente und Einstellungen\Rene\Lokale Einstellungen\Temp\18137.exe infected by "Trojan.Win32.Agent.eo" Virus! Action Taken: No Action Taken.

Thu Jun 23 13:14:37 2005 => File C:\Dokumente und Einstellungen\Rene\Lokale Einstellungen\Temp\k29XEi.exe infected by "Trojan-Downloader.Win32.IstBar.ka" Virus! Action Taken: No Action Taken.

Thu Jun 23 13:14:40 2005 => File C:\Dokumente und Einstellungen\Rene\Lokale Einstellungen\Temp\list141.exe infected by "Trojan-Downloader.Win32.Centim.an" Virus! Action Taken: No Action Taken.

Thu Jun 23 13:17:27 2005 => File C:\Dokumente und Einstellungen\Rene\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KEPKTW6P\istsvc[1].exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus! Action Taken: No Action Taken.

Thu Jun 23 13:25:50 2005 => File C:\RECYCLER\S-1-5-21-1202660629-115176313-682003330-1003\Dc290\weather.exe infected by "Trojan-Downloader.Win32.Centim.an" Virus! Action Taken: No Action Taken.

Thu Jun 23 13:45:46 2005 => File C:\WINDOWS\uninstIU.exe infected by "Trojan.Win32.Agent.eo" Virus! Action Taken: No Action Taken.

Thu Jun 23 14:04:28 2005 => File D:\Programme\NAV2005\Quarantine\546B0042.tmp infected by "Trojan-Downloader.Java.OpenStream.t" Virus! Action Taken: No Action Taken.


Thu Jun 23 14:04:28 2005 => Scanning File D:\Programme\NAV2005\Quarantine\09FE0B36.exe
Thu Jun 23 14:04:28 2005 => File D:\Programme\NAV2005\Quarantine\09FE0B36.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus! Action Taken: No Action Taken.

Thu Jun 23 14:04:28 2005 => Scanning File D:\Programme\NAV2005\Quarantine\0A023532.exe
Thu Jun 23 14:04:29 2005 => File D:\Programme\NAV2005\Quarantine\0A023532.exe infected by "Trojan-Downloader.Win32.VB.ft" Virus! Action Taken: No Action Taken.

Thu Jun 23 14:04:29 2005 => Scanning File D:\Programme\NAV2005\Quarantine\779D4759.exe
Thu Jun 23 14:04:29 2005 => File D:\Programme\NAV2005\Quarantine\779D4759.exe infected by "Trojan-Downloader.Win32.IstBar.ij" Virus! Action Taken: No Action Taken.

Thu Jun 23 14:04:29 2005 => Scanning File D:\Programme\NAV2005\Quarantine\0A08092B.exe
Thu Jun 23 14:04:29 2005 => File D:\Programme\NAV2005\Quarantine\0A08092B.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus! Action Taken: No Action Taken.

Thu Jun 23 14:04:29 2005 => Scanning File D:\Programme\NAV2005\Quarantine\71782568.zip
Thu Jun 23 14:04:29 2005 => File D:\Programme\NAV2005\Quarantine\71782568.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.

Thu Jun 23 14:04:29 2005 => Scanning File D:\Programme\NAV2005\Quarantine\717B4F65.cla
Thu Jun 23 14:04:29 2005 => File D:\Programme\NAV2005\Quarantine\717B4F65.cla infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.

Thu Jun 23 14:04:29 2005 => Scanning File D:\Programme\NAV2005\Quarantine\717E7961.cla
Thu Jun 23 14:04:29 2005 => File D:\Programme\NAV2005\Quarantine\717E7961.cla infected by "Trojan.Java.ClassLoader.Dummy.a" Virus! Action Taken: No Action Taken.

Thu Jun 23 14:04:29 2005 => Scanning File D:\Programme\NAV2005\Quarantine\7181235E.cla
Thu Jun 23 14:04:29 2005 => File D:\Programme\NAV2005\Quarantine\7181235E.cla infected by "Exploit.Java.Bytverify" Virus! Action Taken: No Action Taken.

Thu Jun 23 14:04:29 2005 => Scanning File D:\Programme\NAV2005\Quarantine\66043FA6.dll
Thu Jun 23 14:04:29 2005 => Scanning File D:\Programme\NAV2005\Quarantine\663C0969.exe
Thu Jun 23 14:04:29 2005 => File D:\Programme\NAV2005\Quarantine\663C0969.exe infected by "Trojan.Win32.P2E.br" Virus! Action Taken: No Action Taken.

Thu Jun 23 14:04:29 2005 => Scanning File D:\Programme\NAV2005\Quarantine\663F3365.exe
Thu Jun 23 14:04:29 2005 => File D:\Programme\NAV2005\Quarantine\663F3365.exe infected by "Trojan.Win32.P2E.br" Virus! Action Taken: No Action Taken.

Thu Jun 23 14:04:29 2005 => Scanning File D:\Programme\NAV2005\Quarantine\66425D61.exe
Thu Jun 23 14:04:30 2005 => File D:\Programme\NAV2005\Quarantine\66425D61.exe infected by "Trojan.Win32.P2E.br" Virus! Action Taken: No Action Taken.

Thu Jun 23 14:04:30 2005 => Scanning File D:\Programme\NAV2005\Quarantine\4C3B55F6.exe
Thu Jun 23 14:04:30 2005 => File D:\Programme\NAV2005\Quarantine\4C3B55F6.exe infected by "Trojan-Downloader.Win32.Small.alr" Virus! Action Taken: No Action Taken.

Thu Jun 23 14:04:30 2005 => Scanning File D:\Programme\NAV2005\Quarantine\6645075E.exe
Thu Jun 23 14:04:30 2005 => File D:\Programme\NAV2005\Quarantine\6645075E.exe infected by "Trojan.Win32.P2E.br" Virus! Action Taken: No Action Taken.

Thu Jun 23 14:04:30 2005 => Scanning File D:\Programme\NAV2005\Quarantine\6649315A.exe
Thu Jun 23 14:04:30 2005 => File D:\Programme\NAV2005\Quarantine\6649315A.exe infected by "Trojan-Downloader.Win32.Small.alr" Virus! Action Taken: No Action Taken.

Thu Jun 23 14:04:30 2005 => Scanning File D:\Programme\NAV2005\Quarantine\57CC11F4.exe
Thu Jun 23 14:04:30 2005 => File D:\Programme\NAV2005\Quarantine\57CC11F4.exe infected by "Trojan-Downloader.Win32.Small.alr" Virus! Action Taken: No Action Taken.

Thu Jun 23 14:04:30 2005 => Scanning File D:\Programme\NAV2005\Quarantine\4DB443B8.exe
Thu Jun 23 14:04:30 2005 => File D:\Programme\NAV2005\Quarantine\4DB443B8.exe infected by "Trojan-Downloader.Win32.Small.alr" Virus! Action Taken: No Action Taken.

Thu Jun 23 14:04:30 2005 => Scanning File D:\Programme\NAV2005\Quarantine\6E0F7152.exe
Thu Jun 23 14:04:30 2005 => File D:\Programme\NAV2005\Quarantine\6E0F7152.exe infected by "Trojan-Downloader.Win32.Small.alr" Virus! Action Taken: No Action Taken.

Thu Jun 23 14:04:30 2005 => Scanning File D:\Programme\NAV2005\Quarantine\6649315A.dll
Thu Jun 23 14:04:30 2005 => File D:\Programme\NAV2005\Quarantine\6649315A.dll infected by "Trojan.Win32.P2E.bt" Virus! Action Taken: No Action Taken.

Thu Jun 23 14:04:30 2005 => Scanning File D:\Programme\NAV2005\Quarantine\664C5B57.exe
Thu Jun 23 14:04:30 2005 => File D:\Programme\NAV2005\Quarantine\664C5B57.exe infected by "Trojan.Win32.P2E.br" Virus! Action Taken: No Action Taken.

Thu Jun 23 14:04:30 2005 => Scanning File D:\Programme\NAV2005\Quarantine\664F0553.exe
Thu Jun 23 14:04:30 2005 => File D:\Programme\NAV2005\Quarantine\664F0553.exe infected by "Trojan.Win32.P2E.br" Virus! Action Taken: No Action Taken.

Thu Jun 23 14:04:30 2005 => Scanning File D:\Programme\NAV2005\Quarantine\66522F4F.dll
Thu Jun 23 14:04:30 2005 => File D:\Programme\NAV2005\Quarantine\66522F4F.dll infected by "Trojan.Win32.P2E.bt" Virus! Action Taken: No Action Taken.



scheint wohl so einiges zu sein, hab zwar keine ahnung was ich dem entnehmen soll aber ich find es sieht nicht gut aus, danke für die hilfe schonmal

Alt 24.06.2005, 11:06   #15
Bouga85
 
bloodhound.w32.ep und sixa dialer o.ä. - Standard

bloodhound.w32.ep und sixa dialer o.ä.



Also ich hab mal verscuht mir das im thraed anzueignen wie ichd as selber analysiere aber sorry... da steig ich echt nich hinter

Antwort

Themen zu bloodhound.w32.ep und sixa dialer o.ä.
dialer, dsl, einwahlprogramm, einwählen, erkenn, erkennt, fehler, fenster, gestern, norton, schlimm, schlimm?, verbinden, verbinden mit, versuch, versucht, wähle



Ähnliche Themen: bloodhound.w32.ep und sixa dialer o.ä.


  1. Sixa
    Mülltonne - 12.05.2007 (1)
  2. Hilfe ! Dialer oder nicht Dialer ?
    Plagegeister aller Art und deren Bekämpfung - 16.04.2006 (1)
  3. Von neuem . . . Bloodhound.Exploit.56???
    Plagegeister aller Art und deren Bekämpfung - 07.01.2006 (5)
  4. Bloodhound.Exploit.56 entfernen
    Plagegeister aller Art und deren Bekämpfung - 07.01.2006 (14)
  5. Bloodhound
    Plagegeister aller Art und deren Bekämpfung - 21.09.2005 (1)
  6. Sixa
    Plagegeister aller Art und deren Bekämpfung - 08.09.2005 (1)
  7. W32.Licum und Bloodhound.32
    Plagegeister aller Art und deren Bekämpfung - 05.09.2005 (1)
  8. Dialer: SIXA
    Plagegeister aller Art und deren Bekämpfung - 25.08.2005 (14)
  9. Bloodhound.w32.EP
    Plagegeister aller Art und deren Bekämpfung - 09.07.2005 (19)
  10. bloodhound.w32.ep und wininet.dll infiziert
    Plagegeister aller Art und deren Bekämpfung - 16.06.2005 (2)
  11. bloodhound.exploit.6
    Log-Analyse und Auswertung - 29.05.2005 (2)
  12. Bloodhound.Boot
    Plagegeister aller Art und deren Bekämpfung - 05.04.2005 (8)
  13. Hilfe!!!! Bloodhound.32.1 Virus !!!
    Log-Analyse und Auswertung - 24.03.2005 (2)
  14. Bloodhound.Packed ???
    Log-Analyse und Auswertung - 22.12.2004 (1)
  15. Bloodhound.Exploit.6
    Plagegeister aller Art und deren Bekämpfung - 28.11.2004 (11)
  16. Bloodhound.expolit.6 hilfe
    Plagegeister aller Art und deren Bekämpfung - 17.08.2004 (1)
  17. bloodhound.exploit.6
    Plagegeister aller Art und deren Bekämpfung - 23.06.2004 (1)

Zum Thema bloodhound.w32.ep und sixa dialer o.ä. - Mein Norton 05 erkennt seit gestern bei mir den bloodhound.w32.ep ausserdem kommt ab und zu ein einwahlprogramm, im fenster steht dann "verbinden mit sixa" da ich aber dsl flat hab - bloodhound.w32.ep und sixa dialer o.ä....
Archiv
Du betrachtest: bloodhound.w32.ep und sixa dialer o.ä. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.