Hallo,
naja die CD wird auch keine Wunder bewirken. Welche Sachen findet Spybot noch (Viren können es nicht sein, den die kann Spybot gar nicht finden, es ist ein AntiSpywaretool)? Und nur mal so nebenbei, hat das Internet von Anfang an nicht mehr funktioniert, oder erst als der Informatiker etwas gemacht(ev. gelöscht) hat?


Grüße Wildone

Der Informatiker hatte sein werk nicht an meinem PC er gab mir tips über das telefon und S&D findet nur cookies der eigentliche virus ist aber noch drauf

Hallo,
naja okay, habe da zwar so meine Zweifel, aber kann es auch schwer von der Ferne beurteilen. Woran meinst du zu merken das der Virus noch aktiv sei. Falls du doch noch etwas findest(z.B. mit CD) würde mich das interessieren, kannst du das dann posten?
Falls du mal noch mit der Jagd weitermachen willst kannst du mal F-Secure Blacklight drüberlaufen lassen, falls etwas gefunden wird das Log posten. Und außerdem folgendes und die vier Logs posten, aber nur die Dateien der letzten drei Monate abkopieren.



Grüße Wildone

Danke
Wildone
werde den Scanner drüber laufen lassen.
Ich habe mir gerade die CD gemacht und drüberlaufen lassen. Net schlecht kann dir gerne per E-mail die ISO datei schicken nur wenn du möchtest.
Darum habe ich so lang nicht geschrieben.

PS: Dank meiner dummheit musste ich festellen das das was der S&D gefunden hat un jetzt kommts

Zitat:

NUR COOKIES

waren.
Tja scheiße wars.

Hinzugefügt: Der Scanner hat nichts gefunden den du mir empfohlen hast.Werde dennoch die vorhande (vieleicht entschärfte) .exe in die quarantine(oder soänlich geschrieben)von norton antivirus schicken dort wird sie am besten aufgehoben sein.

VIELEN DANK NOCHMAL AN ALLE WER DIE CD DATEI WILL MELDEN!!!!!!!!!!

Hallo,

Zitat:

Net schlecht kann dir gerne per E-mail die ISO datei schicken nur wenn du möchtest.

Danke, aber brauche ich nicht, ich habe schon eine modifizierte Bart PE CD mit Virenscanner, und auch noch eine Knoppix CD.

Zitat:

Werde dennoch die vorhande (vieleicht entschärfte) .exe in die quarantine

Den Satz verstehe ich jetzt nicht ganz, welche verdächtige Datei (geanuer Pfad)?


Grüße Wildone

Oje die logs:
wusste gar nicht das es mein computer seit 1996 gibt egal

Zitat:

Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 084D-C537

Verzeichnis von C:\WINDOWS\system32

04.02.2006 20:08 22.602 nvapps.xml
04.02.2006 17:04 13.646 wpa.dbl
03.02.2006 17:05 421.798 perfh009.dat
03.02.2006 17:05 70.532 perfc009.dat
03.02.2006 17:05 436.800 perfh007.dat
03.02.2006 17:05 83.358 perfc007.dat
03.02.2006 17:05 1.026.496 PerfStringBackup.INI
03.02.2006 17:01 8.464 sporder.dll
03.02.2006 17:01 33.533 CoreVorbis-uninstall.exe
26.01.2006 12:04 246.312 FNTCACHE.DAT
14.01.2006 11:21 13 WinSys32.crc
13.01.2006 16:19 176.167 rmoc3260.dll
13.01.2006 16:19 5.632 pndx5032.dll
13.01.2006 16:19 6.656 pndx5016.dll
13.01.2006 16:19 278.528 pncrt.dll
05.01.2006 04:41 2.836.320 MRT.exe
03.01.2006 15:31 91.904 S32EVNT1.DLL
29.12.2005 16:09 980.775 incom_.exe
29.12.2005 03:54 280.064 gdi32.dll
25.12.2005 10:51 7.006 jupdate-1.5.0_06-b05.log
05.12.2005 06:12 56.832 pxcpya64.exe
05.12.2005 06:12 56.320 pxinsa64.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
15.11.2005 12:12 126.680 GCCollection.dll
15.11.2005 12:12 117.976 hashlib.dll
15.11.2005 12:12 95.448 gcUnCompress.dll
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
29.10.2005 00:50 26.112 bcsprsrc.dll
29.10.2005 00:50 86.016 pintool.exe
29.10.2005 00:25 151.552 ifxcardm.dll
29.10.2005 00:25 133.120 axaltocm.dll
28.10.2005 16:40 96.792 basecsp.dll
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 55.808 extmgr.dll
20.10.2005 23:25 1.094.144 esent.dll
17.10.2005 22:20 118.272 t2embed.dll
17.10.2005 22:20 80.896 fontsub.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:08 1.839.616 win32k.sys

Zitat:

Zitat von Wildone

Den Satz verstehe ich jetzt nicht ganz, welche verdächtige Datei (geanuer Pfad)?

also den pfad zur shim idol.exe (siehe unten)
PS: hab ich die logs richtig gemacht? Und warum fängt die jahreszahl bei 1996 da hatte ich noch garkein computer und den habe ich seit 2005.

Hallo,
das ist seltsam, könnten Cracks o.ä. sein, aber poste mal die Dateien (falls nicht zu viele). Es sollten vier Logs sein, vom Ordner System32, Windows, C:\, und Temp. Alle vier bitte posten.

Zitat:

also den pfad zur shim idol.exe

Ich dachte den hättest du schon lange gelöscht, oder nicht? Weil wenn du das nicht alles in einem Rutsch gemacht hast funktioniert es nicht, poste mal zur Kontrolle ein neues HijackThis Log.


Grüße Wildone

also zuerst mal das was norton anzeigt.
Logs kommen gleich.
Und nein die idol.exe habe ich nicht gelöscht weil es nicht gegangen ist.
Hinzugefügt:
Ich habe keine Ahnung wie ich 4 logs hinkrieg.Es kommt immer die cmd.exe danach eine blöde txt datei

Zitat:

Datentr„ger in Laufwerk D: ist DATEN
Volumeseriennummer: 308F-0EA2

Verzeichnis von D:\

24.05.2005 09:55 281 Verkn�pfung mit SYSTEM (C).lnk
1 Datei(en) 281 Bytes
0 Verzeichnis(se), 70.770.458.624 Bytes frei

die das enthält

Hallo,
ist die Hideexec.exe von dir gewollt?
Die Logs liegen als Textdatei unter C:\
sys.txt
system.txt
systemtemp.txt
diese öffnen und die besagten drei Monate abkopieren. Bei der system32.txt die Dateien von 96 posten.

Zitat:

Und nein die idol.exe habe ich nicht gelöscht weil es nicht gegangen ist.

Warum nicht, hast du es so gemacht wie von mir gepostet?
Kam eine Fehlermeldung? Du bist recht schweigsam, dir muss man ziemlich viel auds der Nase ziehen.


Grüße Wildone

Ich habe keine Ahnung sie wurde ich habe keine absicht jemanden hacken alles weg .Ich denke sie wurde irgendwie mit gebracht bei der PE CD dort gibt es ein menüpunkt wo man irgendwie pw knacken kann.(laut dem srpichwort feuer bekämpft man mit feuer)
Im anhang sind die logs mehr habe ich nicht gefunden den sys.txt gibts net

Zitat:

Zitat von Wildone

Warum nicht, hast du es so gemacht wie von mir gepostet?

Wollte ich ja du hast aber meine Frage nicht beantwortet die lautete wie ich einen mit HijackThis eine datei fixe

Hallo,
hmm scheint irgendwie nicht funktioniert zu haben. Aber jetzt noch mal zwei grundsätzliche Fragen, erstens, Wie kommst du darauf das du einen Virus hast, hast du irgendwelche beschwerden? Zweitens, Hat der scan mit der CD irgendetwas zu Tage gefördert?Und poste jetzt noch mal ein neuies HijackThis Log.

Edit
Oh das muss ich überlesen haben, du machst mit bei HijackThis einen Haken vor den betrefenden Eintrag und klickst auf "fix checked".

Grüße Wildone

Zitat:

Zitat von Logfile

Logfile of HijackThis v1.99.1
Scan saved at 21:44:34, on 04.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\UltraVNC\WinVNC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\ICQLite\ICQLite.exe
D:\Eigene Dateien\Setups\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5BCD50F8-494E-AECA-3F3F-D8D60EB4F4E9} - C:\DOKUME~1\User\ANWEND~1\SKIPSE~1\shim idol.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [AXISDART] C:\DOKUME~1\User\ANWEND~1\ENCTHA~1\SupportDeadRdr.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download with TrueDownloader! - C:\Programme\TrueDownloader\TrueDownloader.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120381946953
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{83CB00F7-FC77-4256-B4E9-73F1705ED70E}: NameServer = 192.168.2.1
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe (file missing)
O23 - Service: MSSQLSERVER - Unknown owner - c:\Programme\Everest80\MSSQL\Binn\sqlservr.exe (file missing)
O23 - Service: MSSQLServerADHelper - Unknown owner - C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe (file missing)
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SQLSERVERAGENT - Unknown owner - c:\Programme\Everest80\MSSQL\Binn\sqlagent.EXE (file missing)
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\UltraVNC\WinVNC.exe" -service (file missing)

Zitat:

Zitat von Wildone

Oh das muss ich überlesen haben, du machst mit bei HijackThis einen Haken vor den betrefenden Eintrag und klickst auf "fix checked".

Bin kurz im abgesicherten modus!!!

Zitat:

Zitat von Wildone

Wie kommst du darauf das du einen Virus hast, hast du irgendwelche beschwerden? Zweitens, Hat der scan mit der CD irgendetwas zu Tage gefördert?

1. Früher nicht mehr ins internet gekommen und norton hat gespunnen.
Heute zeigt Norton an.
2. Ja AntiVir hat 6 viren gefunden AdAware 1ne adware

Hallo,
halt der Ordner hat sich geändert(und wird sich beim nächsten Neustart ev. wieder ändern), jetzt musst du löschen:
C:\DOKUME~1\User\ANWEND~1\SKIPSE~1\
C:\DOKUME~1\User\ANWEND~1\ENCTHA~1

und fixen:
O2 - BHO: (no name) - {5BCD50F8-494E-AECA-3F3F-D8D60EB4F4E9} - C:\DOKUME~1\User\ANWEND~1\SKIPSE~1\shim idol.exe
O4 - HKCU\..\Run: [AXISDART] C:\DOKUME~1\User\ANWEND~1\ENCTHA~1\SupportDeadRdr. exe

Welche sechs Viren hat AntiVir gefunden? Pfadangabe?


Grüße Wildone