Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: HELP!!!!! BDS/BeastD.201.A.6.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.12.2003, 15:09   #1
pico
 
HELP!!!!! BDS/BeastD.201.A.6. - Beitrag

HELP!!!!! BDS/BeastD.201.A.6.



hallo
ich hab nen problem mit nem virus oder wurm oder trojaner oder sowas und bräuchte hilfe von leuten die was davon verstehen.
mein antivirenprogramm(AntiVir PE 6...) hat es neulich entdeckt
das viech heisst: BDS/BeastD.201.A.6.
die gefunden wurde es in der datei: dxdgns.dll

bemerkt hab ich das vieh, als antivier eine bluescreen-ähnliche meldung gab, welche besagte, dass besagter virus in besagter datei gefundden worden wäre und verschiedene optionen gab, wie antivir mit der infizierten datei umgehen soll(löschen, verschieben etc.)
je nach dem welche option man wählte kam die meldung zwischen 3 und 8 mal hintereinander.
Aufgeschreckt von dieser meldung machte ich einen virenscan.
Bei dem scan wurde der virus lediglich in der dxdgns.dll gefunden und antivir machte eine meldung, dass die Datei "gelockt" wäre und daher nur bei einem neustart repariert werden könne und ich solle sofort nachdem scan den pc neustarten. Dem leistete ich Folge, aber nach dem neustart kam die bluescreen-änliche meldung wieder.
DA nun Antivir versagt hatte besorgte ich mir eine 14tage trialversion von norton antivirus. norton öffnete beim scan, sobald der virus entdeckt war, dann ein fenster mit einer Meldung die besagte, dass der virus BDS/BeastD.201.A.6. in der dxdgns.dll gefunden ud die datei erfolgreich repariert worden wären.
aber beim nächsten neustart kam die meldung von norton (genau die gleiche wie beim scan) von wegen virus entdeckt und vernichten und dass gleich 3 mal hintereinander und danach wiedereinmal der antivirbluescreen (auch mehrfach) dann war ruhe bis zum nächsten virenscan oder systemstart.
das hab ich einige male mitgemacht, und dann habe ich die gleichen dinge nochmal im abgesicherten modus versucht. hat auch nix geholfen.
mein letzter versuch war das löschen der infizierten datei (war nur im abgesicherten modus möglich). und auch dass hat nix gebracht, die datei war nach einem neustart wieder da und immernoch infiziert.

Alt 02.12.2003, 15:57   #2
Rene-gad
 
HELP!!!!! BDS/BeastD.201.A.6. - Beitrag

HELP!!!!! BDS/BeastD.201.A.6.



hi pico,
estmals willkommen an Board,
Schau mal hier!
__________________


Alt 02.12.2003, 16:05   #3
BLACKDOG
 
HELP!!!!! BDS/BeastD.201.A.6. - Beitrag

HELP!!!!! BDS/BeastD.201.A.6.



Hi Pico!

schau mal hier
http://www.pestpatrol.com/PestInfo/b/beast.asp
vielleicht findest Du dort etwas nützliches - denn unter mit der angegebenen Versionsnummer ist nix zu finden.

remove anweisungen findest du am ende des documents (anfangs siehst du wie das backdoor-progi nutzen kannst nur scherz

MFG
Blackdog
__________________
__________________

Alt 02.12.2003, 19:26   #4
pico
 
HELP!!!!! BDS/BeastD.201.A.6. - Beitrag

HELP!!!!! BDS/BeastD.201.A.6.



ja sorry hab mixh garnicht vorgestellt rene-gad

ok danke Blackdog,
die seite is super aber ich steig nich durch, dazu versteh ich nich genug von computern.
Also am ersten punkt scheiter ich schon daran, dass die dateien im taskmanager irgentwie nich sind, und die anderen Punkte, die dort erklährt werden, sind mir auch nich wirklich klar, was ich da machen muss.

das könnte mir jetzt mal jemand so erklären, dass ich das auch verstehen kann. Meine informatikkentnisse höhren nähmlich rigentwo zwischen einbauen einer soundkarte in einen pc und dem installieren eines Betriebsystems auf.

Alt 02.12.2003, 19:38   #5
IRON
 
HELP!!!!! BDS/BeastD.201.A.6. - Beitrag

HELP!!!!! BDS/BeastD.201.A.6.



Da 20 Augen mit Erfahrung mehr sehen als 2 ohne diese, schlage ich vor, du installierst dir mal eben HijackThis , scannst damit, speicherst den erzeugten Report als TXT-Datei und postest hier deren für dich unverständlichen Inhalt. Dann kann man sehen, was bei dir so alles läuft und eventuell für das Problem verantwortlich ist.


Alt 03.12.2003, 11:04   #6
pico
 
HELP!!!!! BDS/BeastD.201.A.6. - Beitrag

HELP!!!!! BDS/BeastD.201.A.6.



ok
hab mir HijackThis downgeloaded
einen scan gemacht und dann dieses bekommen:


Logfile of HijackThis v1.97.7
Scan saved at 12:01:10, on 03.12.2003
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS.000\SYSTEM\KERNEL32.DLL
C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE
C:\WINDOWS.000\SYSTEM\MPREXE.EXE
C:\WINDOWS.000\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\WINDOWS.000\SYSTEM\MSTASK.EXE
C:\WINDOWS.000\SYSTEM\mmtask.tsk
C:\WINDOWS.000\EXPLORER.EXE
C:\WINDOWS.000\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS.000\SYSTEM\SYSTRAY.EXE
C:\WINDOWS.000\SYSTEM\WMIEXE.EXE
C:\WINDOWS.000\TASKMON.EXE
C:\WINDOWS.000\WT\UPDATER\WCMDMGR.EXE
C:\WINDOWS.000\RUNDLL32.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\RNATHCHK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS.000\SYSTEM\DDHELP.EXE
C:\WINDOWS.000\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchgateway.net/search/%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://searchbar.findthewebsiteyouneed.com/
F1 - win.ini: load=C:\TBridge\Flatbed.exe
O1 - Hosts: 66.159.20.80 www1.ndhosting.com
O1 - Hosts: 66.159.20.80 www3.ndhosting.com
O1 - Hosts: 66.159.20.80 www2.ndhosting.com
O1 - Hosts: 66.159.20.80 www.ndhosting.com
O1 - Hosts: 66.159.20.80 www.kinghost.com
O1 - Hosts: 66.159.20.80 kinghost.com
O1 - Hosts: 66.159.20.80 www1.kinghost.com
O1 - Hosts: 66.159.20.80 www2.kinghost.com
O1 - Hosts: 66.159.20.80 www3.kinghost.com
O1 - Hosts: 66.159.20.80 www4.kinghost.com
O1 - Hosts: 66.159.20.80 www5.kinghost.com
O1 - Hosts: 66.159.20.80 www6.kinghost.com
O1 - Hosts: 66.159.20.80 www7.kinghost.com
O1 - Hosts: 66.159.20.80 www8.kinghost.com
O1 - Hosts: 66.159.20.80 www9.kinghost.com
O1 - Hosts: 66.159.20.80 www10.kinghost.com
O1 - Hosts: 66.159.20.80 www.smutserver.com
O1 - Hosts: 66.159.20.80 smutserver.com
O1 - Hosts: 66.159.20.80 www1.smutserver.com
O1 - Hosts: 66.159.20.80 www2.smutserver.com
O1 - Hosts: 66.159.20.80 www16.smutserver.com
O1 - Hosts: 66.159.20.80 www3.smutserver.com
O1 - Hosts: 66.159.20.80 www4.smutserver.com
O1 - Hosts: 66.159.20.80 www5.smutserver.com
O1 - Hosts: 66.159.20.80 www6.smutserver.com
O1 - Hosts: 66.159.20.80 www7.smutserver.com
O1 - Hosts: 66.159.20.80 www8.smutserver.com
O1 - Hosts: 66.159.20.80 www9.smutserver.com
O1 - Hosts: 66.159.20.80 www10.smutserver.com
O1 - Hosts: 66.159.20.80 www11.smutserver.com
O1 - Hosts: 66.159.20.80 www12.smutserver
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\PROGRAMME\GO!ZILLA\GOIEHLP.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAMME\MEDIALOADS ENHANCED\ME1.DLL
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet5_48.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS.000\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS.000\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS.000\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [Windows Explorer Update Build 1142] explorer32.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Labtec\Labtec Mouse Software\2.0\MOUSE32A.EXE
O4 - HKLM\..\Run: [Launcher] "C:\Programme\KFH\cl\launcher.exe" /P
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS.000\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SiSAudio] C:\WINDOWS.000\system\MP_S3.exe
O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS.000\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [COM Service] C:\WINDOWS.000\command\mshjui.com
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Symantec Core LC] C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS.000\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS.000\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [COM Service] C:\WINDOWS.000\command\mshjui.com
O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW\yawguard.exe"
O4 - Startup: My Shared Folder.lnk = ?
O8 - Extra context menu item: Download with Go!Zilla - file://C:\PROGRAMME\GO!ZILLA\download-with-gozilla.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: concept/design's onlineTV (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O13 - WWW. Prefix: http://
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {11BF0E2B-4229-4ADC-9C11-1C6968731018} (Download Class) - http://www.0190-dialer.com/VLoading.cab
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://dld.winwise.t-online.de/Downl...mmon/npwwg.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...7879.197349537
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB

Alt 03.12.2003, 11:31   #7
raman
 
HELP!!!!! BDS/BeastD.201.A.6. - Beitrag

HELP!!!!! BDS/BeastD.201.A.6.



Einmal dieses hier durcharbeiten: http://www.spywareinfo.com/~merijn/cwschronicles.html

Vorher mit Hilfe von HijackThis folgendes "fix"en:
Alles was mit 01 anfaengt und
O4 - HKLM\..\Run: [Windows Explorer Update Build 1142] explorer32.exe
O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS.000\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [COM Service] C:\WINDOWS.000\command\mshjui.com
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKCU\..\Run: [COM Service] C:\WINDOWS.000\command\mshjui.com
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {11BF0E2B-4229-4ADC-9C11-1C6968731018} (Download Class) - http://www.0190-dialer.com/VLoading.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab

Nach dem Neustart die Dateien C:\WINDOWS.000\command\mshjui.com und explorer32.exe loeschen. Danach den cwsredder laufen lassen und ein neues Log posten.
Du solltest auch via www.windowsupdate.com alle relevanten Updates installieren.

Es besteht die Moeglichkeit das durch das entfernen der "Spyware" die Software, die diese installiert hat, nicht mehr funktioniert. Wie z.B. Gozilla.
__________________
MfG Ralf

Alt 03.12.2003, 12:24   #8
BLACKDOG
 
HELP!!!!! BDS/BeastD.201.A.6. - Beitrag

HELP!!!!! BDS/BeastD.201.A.6.



falls du nicht bereits mit hijack this alles gefixt hast. hast du alternativ die möglichkeit mit "Spybot" (forum-suche) die sachen zu fixen (ich glaube spybot legt dummies von den ersetzten dateien an), dann könntest du die wirtdateien (zb. gozilla) trotzdem noch weiterverwenden.

Noch was, deaktiviere die systemwiederstellung von win me (sollte in der systemsteuerung zu finden - weiß aber nicht wo dies unter "ME" genau versteckt ist), zumindest bis das system wieder frei ist.

CU
Blackdog
__________________
Think positiv - es wird Ihnen gehilft

Alt 03.12.2003, 14:11   #9
IRON
 
HELP!!!!! BDS/BeastD.201.A.6. - Beitrag

HELP!!!!! BDS/BeastD.201.A.6.



Sicherheitshalber (falls HijackThis die Datei HOSTS nicht anrührt) diese Datei löschen und eine neue erstellen. Erzeuge einfach eine leere Textdatei, schreibe hinein:
127.0.0.1 localhost

und speichere sie im Windows-Ordner. Entferne die Endung TXT, so dass sie tatsächlich endungslos ist und nur HOSTS heißt.

Alt 03.12.2003, 14:23   #10
pico
 
HELP!!!!! BDS/BeastD.201.A.6. - Beitrag

HELP!!!!! BDS/BeastD.201.A.6.



was is den cwsredder ??
ausserdem fin ich die explorer32.exe nicht

Alt 03.12.2003, 15:09   #11
raman
 
HELP!!!!! BDS/BeastD.201.A.6. - Beitrag

HELP!!!!! BDS/BeastD.201.A.6.



</font><blockquote>Zitat:</font><hr />Original erstellt von pico:
was is den cwsredder ??
ausserdem fin ich die explorer32.exe nicht
</font>[/QUOTE]CWshredder loescht dir deinenCoolwebsearch Hijacker. Infos dazu und die Datei findest du hier: http://www.spywareinfo.com/~merijn/cwschronicles.html

Die Datei explorer32.exe koennte versteckt sein. Benutze mal die Windowssuche, oder aktualisiere dein AVPE und lasse ihn danach suchen. Es ist wohl irgendeine SDbot Variante. Aber wenn du den Eintrag mit HijackThis entfernen laesst, wird die Datei eh nicht mehr gestartet.
__________________
MfG Ralf

Alt 03.12.2003, 15:25   #12
pico
 
HELP!!!!! BDS/BeastD.201.A.6. - Beitrag

HELP!!!!! BDS/BeastD.201.A.6.



danke raman
ok
hier is der neue HijackThis log


Logfile of HijackThis v1.97.7
Scan saved at 16:22:39, on 03.12.2003
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS.000\SYSTEM\KERNEL32.DLL
C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE
C:\WINDOWS.000\SYSTEM\mmtask.tsk
C:\WINDOWS.000\SYSTEM\MPREXE.EXE
C:\WINDOWS.000\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\WINDOWS.000\SYSTEM\MSTASK.EXE
C:\WINDOWS.000\EXPLORER.EXE
C:\WINDOWS.000\SYSTEM\SYSTRAY.EXE
C:\WINDOWS.000\SYSTEM\WMIEXE.EXE
C:\WINDOWS.000\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS.000\TASKMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\RNATHCHK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS.000\RUNDLL32.EXE
C:\WINDOWS.000\SYSTEM\DDHELP.EXE
C:\WINDOWS.000\SYSTEM\INTERNAT.EXE
C:\WINDOWS.000\SYSTEM\RNAAPP.EXE
C:\WINDOWS.000\SYSTEM\TAPISRV.EXE
C:\WINDOWS.000\NOTEPAD.EXE
C:\WINDOWS.000\TEMP\HIJACKTHIS.EXE

und bei dem cwsredder kam am ende dieser text:
Done!
Removed from your system:
- CWS.Addclass
- 2 infected IE registry values

Windows ME (4.90.3000 )
CWShredder v1.38.2
Written by Merijn - merijn@spywareinfo.com

Alt 03.12.2003, 15:50   #13
raman
 
HELP!!!!! BDS/BeastD.201.A.6. - Beitrag

HELP!!!!! BDS/BeastD.201.A.6.



Da hast du den unteren Teil vergessen!
__________________
MfG Ralf

Alt 03.12.2003, 16:16   #14
pico
 
HELP!!!!! BDS/BeastD.201.A.6. - Beitrag

HELP!!!!! BDS/BeastD.201.A.6.



ups

hier kommt nochmal der ganze text


Logfile of HijackThis v1.97.7
Scan saved at 16:22:39, on 03.12.2003
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS.000\SYSTEM\KERNEL32.DLL
C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE
C:\WINDOWS.000\SYSTEM\mmtask.tsk
C:\WINDOWS.000\SYSTEM\MPREXE.EXE
C:\WINDOWS.000\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\WINDOWS.000\SYSTEM\MSTASK.EXE
C:\WINDOWS.000\EXPLORER.EXE
C:\WINDOWS.000\SYSTEM\SYSTRAY.EXE
C:\WINDOWS.000\SYSTEM\WMIEXE.EXE
C:\WINDOWS.000\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS.000\TASKMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\RNATHCHK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS.000\RUNDLL32.EXE
C:\WINDOWS.000\SYSTEM\DDHELP.EXE
C:\WINDOWS.000\SYSTEM\INTERNAT.EXE
C:\WINDOWS.000\SYSTEM\RNAAPP.EXE
C:\WINDOWS.000\SYSTEM\TAPISRV.EXE
C:\WINDOWS.000\NOTEPAD.EXE
C:\WINDOWS.000\TEMP\HIJACKTHIS.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir..._PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchgateway.net/search/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.microsoft.com/isapi/redir...0&Ar=ie5update
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = iexplore
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = ,
F1 - win.ini: load=C:\TBridge\Flatbed.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\PROGRAMME\GO!ZILLA\GOIEHLP.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAMME\MEDIALOADS ENHANCED\ME1.DLL
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet5_48.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS.000\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS.000\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS.000\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Labtec\Labtec Mouse Software\2.0\MOUSE32A.EXE
O4 - HKLM\..\Run: [Launcher] "C:\Programme\KFH\cl\launcher.exe" /P
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS.000\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SiSAudio] C:\WINDOWS.000\system\MP_S3.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Symantec Core LC] C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\Run: [COM Service] C:\WINDOWS.000\command\mshjui.com
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS.000\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS.000\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [COM Service] C:\WINDOWS.000\command\mshjui.com
O4 - Startup: My Shared Folder.lnk = ?
O8 - Extra context menu item: Download with Go!Zilla - file://C:\PROGRAMME\GO!ZILLA\download-with-gozilla.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: concept/design's onlineTV (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://dld.winwise.t-online.de/Downl...mmon/npwwg.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...7879.197349537
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB

Alt 03.12.2003, 16:40   #15
raman
 
HELP!!!!! BDS/BeastD.201.A.6. - Beitrag

HELP!!!!! BDS/BeastD.201.A.6.



Lade dir mal Adaware oder SpybotSD herunter. Du hast immer noch so einiges.

Teste diese Datei C:\WINDOWS.000\command\mshjui.com mal hier: http://www.kaspersky.com/remoteviruschk.html
__________________
MfG Ralf

Antwort

Themen zu HELP!!!!! BDS/BeastD.201.A.6.
abgesicherten, abgesicherten modus, antivirenprogramm, bluescree, bräuchte, datei, dinge, entdeck, erfolgreich, fenster, folge, hilfe, infiziert., infizierte, leute, löschen, meldung, modus, neustart, norton, problem, programm, trojaner, umgehen, verschieben, verschiedene, virus, wurm



Zum Thema HELP!!!!! BDS/BeastD.201.A.6. - hallo ich hab nen problem mit nem virus oder wurm oder trojaner oder sowas und bräuchte hilfe von leuten die was davon verstehen. mein antivirenprogramm(AntiVir PE 6...) hat es neulich - HELP!!!!! BDS/BeastD.201.A.6....
Archiv
Du betrachtest: HELP!!!!! BDS/BeastD.201.A.6. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.