Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   VIELE TAUSEND PFERDE und mehr... HHHIILLFFFEE! (https://www.trojaner-board.de/11622-viele-tausend-pferde-mehr-hhhiillfffee.html)

ninja-2 04.01.2005 02:16
VIELE TAUSEND PFERDE und mehr... HHHIILLFFFEE!
 
Hallo!
Weiß nicht mehr weiter!

Logfile of HijackThis v1.97.7
Scan saved at 01:25:40, on 04.01.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\PCSUITE\DATALAYER\DATALAYER.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\TOOLS\NCLTRAY.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE
C:\WINDOWS\DESKTOP\MAPOCHAR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\PCSUITE\SERVICES\SERVICELAYER.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\BOUNCER\BOUNCER.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.werbeagentur.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
F0 - system.ini: Shell=c:\windows\Explorer.exe
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [Bouncer RunStartup] C:\Programme\Bouncer\liveupdate.exe 110
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
O4 - HKCU\..\RunServices: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\RunServices: [Spyware Doctor] "C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
O4 - Startup: tmpdelis.bat
O4 - Startup: Verknüpfung mit mapOchar.exe.lnk = C:\WINDOWS\Desktop\mapOchar.exe
O4 - Startup: tmpdelis.PIF = ?
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: JAP.lnk = C:\Programme\Jap\jap.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: eBay - Homepage (HKLM)
O9 - Extra button: Spyware Doctor (HKLM)
O10 - Unknown file in Winsock LSP: c:\windows\system\aklsp.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

-----------------------------------------
Auszug aus escan:
File C:\WINDOWS\SYSTEM\IPSCLASS.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken.
File C:\WINDOWS\SYSTEM\IX32.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken.
File C:\WINDOWS\SYSTEM\MBWSOSP.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken.
File C:\WINDOWS\SYSTEM\OJE2CONV.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken.
File C:\WINDOWS\SYSTEM\DXKAPI16.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken.
File C:\WINDOWS\SYSTEM\CDUSALGO.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken.
File C:\WINDOWS\SYSTEM\RKFEDIT.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken.
File C:\WINDOWS\SYSTEM\SHMSCRPT.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken.
File C:\WINDOWS\SYSTEM\LILMA90N.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken.
File C:\WINDOWS\SYSTEM\RFSAPI16.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken.
File C:\WINDOWS\SYSTEM\MT3216.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken.
File C:\WINDOWS\SYSTEM\IPSCLASS.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken.
File C:\WINDOWS\SYSTEM\HRD.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken.
File C:\WINDOWS\SYSTEM\mhtext35.dll tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken.
File C:\WINDOWS\SYSTEM\MFYUV.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken.
File C:\WINDOWS\SYSTEM\emlate32.dll tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken.
File C:\WINDOWS\SYSTEM\DQLMSC32.dll tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken.
File C:\WINDOWS\SYSTEM\OUMREG.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken.
File C:\WINDOWS\SYSTEM\p2esocks_1023.dll infected by "Trojan.Win32.P2E.aj" Virus. Action Taken: File Deleted.
File C:\WINDOWS\SYSTEM\IX32.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken.
File C:\WINDOWS\SYSTEM\auist5.dll tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken.
File C:\WINDOWS\SYSTEM\THbctde.dll tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken.

Komplettes log FOLGT!
------------------------------------------------------------------
Bazooka meldet alle i.O.
----------------------------------
CWShredder 2.12 meldet:
CWS.BootConf und CWS.Cvchost32 gefunden. Kann nicht reparieren. CH.. liegt aber nicht im win-Verzeichnis!
---------------------------------
Es kommen sporadische Seiten wie z.B.
loadingwebsite.com und mediabuy-nic...
----------------------------------
Norton AV startet nicht mehr. Aus DOS scannt er brav, findet aber nicht...
----------------------------------
Meine onlinebanking-Konten können nicht mehr aufgerufen werden... SORGE?
--------------------------------------------------
Trotz DSL: Alles super langsam!
--------------------------------------------------
SpyBouncer meldet noch 6 weitere Trojas
coolwebsearch etc.. Muss nochmal laufen lassen. FOLGT!
------------------------------------------------
SpywareDoctor:

VirtualBouncer
akamaidownloadv3.com
IEPLUGIN
SurfSideKick2


LOG:

Scan Results:
scan start: 04.01.04 01:29:14
scan stop: 04.01.04 01:38:40
scanned items: 131484
found items: 40
found and ignored: 0
tools used: General Scanner, Process Scanner, Hosts scanner, LSP Scanner, Registry Scanner, Cookie Scanner, Browser Defaults, Favorites and ZoneMap Scanner, Browser Scanner, Disk Scanner



Infection Name Location Risk
EasyWebSearch HKCU\Software\SurfSideKick2 High
EasyWebSearch HKCU\Software\SurfSideKick2\Internet Explorer High
Virtual Bouncer HKCR\ChilkatZip.ChilkatEnum Medium
Virtual Bouncer HKCR\ChilkatZip.ChilkatEnum.1 Medium
Virtual Bouncer HKCR\ChilkatZip.ChilkatZip Medium
Virtual Bouncer HKCR\ChilkatZip.ChilkatZip.1 Medium
Virtual Bouncer HKCR\ChilkatZip.ChilkatZip2 Medium
Virtual Bouncer HKCR\ChilkatZip.ChilkatZip2.1 Medium
Virtual Bouncer HKCR\ChilkatZip.ChilkatZipEntry Medium
Virtual Bouncer HKCR\ChilkatZip.ChilkatZipEntry.1 Medium
Virtual Bouncer HKCR\ChilkatZip.ChilkatZipEntry2 Medium
Virtual Bouncer HKCR\ChilkatZip.ChilkatZipEntry2.1 Medium
Virtual Bouncer HKCR\clsid\{18BBDF4D-611D-41CE-A7E7-B2DD23C250D1} Medium
Virtual Bouncer HKCR\clsid\{8551311D-F3BF-4718-AD66-96E302500735} Medium
Virtual Bouncer HKCR\clsid\{CE23505D-68FB-4C49-AE4B-D4F1CF86A2C4} Medium
Virtual Bouncer HKCR\clsid\{DB90DEA9-0897-4B02-9FE0-1E321A22EAB0} Medium
Virtual Bouncer HKCR\clsid\{DB92433D-1902-4789-BAFC-B46B0DCDEBB7} Medium
Virtual Bouncer HKCR\clsid\{EC352548-52B5-41AC-B8C1-8CB561ECF7AD} Medium
Virtual Bouncer HKCR\Interface\{13C243A0-50E9-43F4-8E5B-9FF857C3A0B5} Medium
Virtual Bouncer HKCR\Interface\{4340DF8E-D7A3-4675-BE74-80077B2B3E81} Medium
Virtual Bouncer HKCR\Interface\{4A277E1B-B130-4E4A-92AE-8712F4A150BD} Medium
Virtual Bouncer HKCR\Interface\{4B795337-D704-49C7-8CA1-D65722B28EBD} Medium
Virtual Bouncer HKCR\Interface\{6D37DED8-1944-4E32-93FD-B9610E0AD8E3} Medium
Virtual Bouncer HKCR\Interface\{8DD9B882-0041-449D-A0BD-77A87119AD90} Medium
Virtual Bouncer HKCR\Interface\{92DD4B20-DE93-4F74-8BCA-EC7F88FDAC5D} Medium
Virtual Bouncer HKCR\Interface\{950695DA-8F77-4852-AD93-8C1E64995D4B} Medium
Virtual Bouncer HKCR\TypeLib\{6F65ED0D-066E-4C92-B442-2704E7B64111} Medium
Virtual Bouncer HKLM\SOFTWARE\Chilkat Software, Inc.\ChilkatZip.ChilkatZip Medium
akamai.downloadv3.com {469C7080-8EC8-43A6-AD97-45848113743C} High
akamai.downloadv3.com {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} High
Virtual Bouncer {18BBDF4D-611D-41CE-A7E7-B2DD23C250D1} Medium
Virtual Bouncer {8551311D-F3BF-4718-AD66-96E302500735} Medium
Virtual Bouncer {CE23505D-68FB-4C49-AE4B-D4F1CF86A2C4} Medium
Virtual Bouncer {DB90DEA9-0897-4B02-9FE0-1E321A22EAB0} Medium
Virtual Bouncer {DB92433D-1902-4789-BAFC-B46B0DCDEBB7} Medium
Virtual Bouncer {EC352548-52B5-41AC-B8C1-8CB561ECF7AD} Medium
IEPlugin C:\WINDOWS\Profiles\Burkhard\Anwendungsdaten\Sskknwrd.dll Medium
EasyWebSearch C:\WINDOWS\Profiles\Burkhard\Anwendungsdaten\Sskuknwrd.dll High

---------------------------------------------
Trotz sorgfältiger registry Entfernung im abges. Modus keine Erfolge!
Bitte helft mir! DANKE! :party:

chaosman 04.01.2005 10:30
@ninja-2
lade dir LSP-Fix http://www.cexx.org/lspfix.htm
repariere damit deine winsocks

lade dir spybot bei http://www.safer-networking.org/de/a...-managers.html
update es, dann scannen
das würde ich gerne von escan lesen
Öffne C:\bases\mwav.log
Am Ende folgendes suchen und hier rein kopieren:
Zitat:
Total Files Scanned:
Total Virus(es) Found:
Total Disinfected Files:
Total Files Renamed:
Total Deleted Files:
Total Errors:
Time Elapsed:
Virus Database Date:
Virus Database Count:
wechsle in den abgesicherten modus und lösche alle hier gepostete Adware Look2me manuell

der ist im system
http://www.symantec.com/avcenter/ven...arys.b@mm.html
fixe danach mit HjT
O4 - Startup: tmpdelis.bat
O4 - Startup: tmpdelis.PIF = ?
O4 - HKLM\..\Run: [Bouncer RunStartup] C:\Programme\Bouncer\liveupdate.exe 110
lösche dann manuell
tmpdelis.bat
tmpdelis.PIF
C:\PROGRAMME\BOUNCER\BOUNCER.EXE
C:\Programme\Bouncer\liveupdate.exe 110
danach neu starten,
teile uns das gesamte (!) Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> virus eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
ich vermute dass du viel mehr im system hast, poste bitte obengenannten
benütze bitte der aktuelle version von hjt
http://www.hijackthis.de/

chaosman

ninja-2 04.01.2005 16:06
[QUOTE=chaosman]@ninja-2
lade dir LSP-Fix http://www.cexx.org/lspfix.htm
repariere damit deine winsocks

HABE ICH, aber anscheinend...?
--------------------------------------------------------
Hier sämtliche LOGfiles:

Er will meine Antwort nicht. Kann ich die komplette Notepad-Datei senden?

ninja-2 04.01.2005 16:17
Habe es geschafft, die Texte als Anhang hochzuladen

... Eine Datei war einfach zu groß! :-)

chaosman 04.01.2005 16:26
@all, das ist das logfile von ninja-2

Logfile of HijackThis v1.99.0
Scan saved at 14:53:09, on 04.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\ESCAN\TRAYICOS.EXE
C:\PROGRAMME\ESCAN\ESCANMX.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\PCSUITE\DATALAYER\DATALAYER.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\TOOLS\NCLTRAY.EXE
C:\PROGRAMME\ESCAN\AVPMWRAP.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE
C:\WINDOWS\DESKTOP\MAPOCHAR.EXE
C:\PROGRAMME\JAP\JAP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\PCSUITE\SERVICES\SERVICELAYER.EXE
C:\PROGRAMME\JAVA\J2RE1.4.1_02\BIN\JAVAW.EXE
C:\PROGRAMME\ESCAN\AVPM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\ESCAN\AVPM.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.werbeagentur.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE
O4 - HKLM\..\Run: [NAV CfgWiz] C:\PROGRA~1\NORTON~1\CFGWIZ.EXE /R
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [eScan Updater] C:\PROGRA~1\ESCAN\TRAYICOS.EXE
O4 - HKLM\..\RunServices: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE /service
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
O4 - Startup: tmpdelis.bat
O4 - Startup: Verknüpfung mit mapOchar.exe.lnk = C:\WINDOWS\Desktop\mapOchar.exe
O4 - Startup: tmpdelis.PIF = ?
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: JAP.lnk = C:\Programme\Jap\jap.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDPB.DLL
O10 - Broken Internet access because of LSP provider 'mwnsp.dll' missing

chaosman 04.01.2005 16:34
@ninja-2
lade dir spybot, http://www.safer-networking.org/de/a...-managers.html
scannen lassen.
wechsle dann in den abgesicherten modus und fixe
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - Startup: tmpdelis.bat
O4 - Startup: tmpdelis.PIF = ?
O10 - Broken Internet access because of LSP provider 'mwnsp.dll' missing
neu booten, wenn dein Internetverbindung nicht mehr geht, dann mit LSP-Fix deine winsocks reparieren.
poste doch mal deine ergebnisse von escan
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."
chaosman

ninja-2 04.01.2005 18:00
Spybot läuft noch.
Fixe nachher im abges. Modus.
Mit Version 1.3 oder beta 14.?


poste doch mal deine ergebnisse von escan:
Ja, bitte hier:

Di Jan 04 14:12:45 2005 => ***** Scanning Completed. *****
Di Jan 04 14:12:45 2005 =>
Di Jan 04 14:12:45 2005 => Total Number of Files Scanned: 104942
Di Jan 04 14:12:45 2005 => Total Number of Files Infected: 0
Di Jan 04 14:12:45 2005 => Total Number of Files Disinfected: 0
Di Jan 04 14:12:45 2005 => Total Number of Files Renamed: 0
Di Jan 04 14:12:45 2005 => Total Number of Files Deleted: 0
Di Jan 04 14:12:45 2005 => Total Number of Errors: 0
Di Jan 04 14:12:45 2005 => Time Elapsed:: 01:00:18

ninja-2 05.01.2005 01:05
Im abges. alles weg! Jetzt alles wieder da!

Hijackthis 1.99.0:
Logfile of HijackThis v1.99.0
Scan saved at 01:04:19, on 05.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\PCSUITE\DATALAYER\DATALAYER.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\TOOLS\NCLTRAY.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\BETA\TEATIMER.EXE
C:\WINDOWS\DESKTOP\MAPOCHAR.EXE
C:\PROGRAMME\JAP\JAP.EXE
C:\PROGRAMME\JAVA\J2RE1.4.1_02\BIN\JAVAW.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\PCSUITE\SERVICES\SERVICELAYER.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\BETA\SPYBOTSD.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.werbeagentur.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\beta\TeaTimer.exe
O4 - Startup: tmpdelis.bat
O4 - Startup: Verknüpfung mit mapOchar.exe.lnk = C:\WINDOWS\Desktop\mapOchar.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: JAP.lnk = C:\Programme\Jap\jap.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm

--------------------------------------------
Spybot:
--- Search result list ---
Common hijacker: Umgeleiteter Host (Umgeleiteter Host, nothing done)
Common hijacker: Umgeleiteter Host (Umgeleiteter Host, nothing done)
CoolWWWSearch.Bootconf: Umgeleiteter Host (Umgeleiteter Host, nothing done)
CoolWWWSearch.Loadbat: Umgeleiteter Host (Umgeleiteter Host, nothing done)
CoolWWWSearch.Msconfd: Umgeleiteter Host (Umgeleiteter Host, nothing done)
CoolWWWSearch.Oslogo: Umgeleiteter Host (Umgeleiteter Host, nothing done)
CoolWWWSearch.Tapicfg: Umgeleiteter Host (Umgeleiteter Host, nothing done)
CoolWWWSearch.Xmlmimefilter: Umgeleiteter Host (Umgeleiteter Host, nothing done)
IGetNet: Umgeleiteter Host (Umgeleiteter Host, nothing done)


In der HOSTS-Date liegen die IP-Adressen wieder drin..
Fixe mal mit dem removal-Tool für wwwcoolsearch...

ninja-2 05.01.2005 01:09
Der hoffnungsvolle Smartkiller brachte nichts!

??????????????????????????????? *ratlos sei...*??????? :schmoll:

chaosman 05.01.2005 11:26
@ninja-2

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

wechsle in den abgesicherten modus, lasse HJT scannen, fixe(häkchen setzen, und Fix Checked klicken),
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.werbeagentur.de/
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - Startup: tmpdelis.bat
suche der tmpdelis.bat anschließend löschen
neu booten
chaosman

ninja-2 05.01.2005 16:05
Ich habe mit HIJ und spybot im abges. Modus gescannt, alle Probleme -auch die du beschrieben hast gefixed. Dann alle anderen Probleme in der Registry manuell gelöscht. Manuelle Löschung der Dateien vorgenommen.
----------------------------------------------------------

Nach der Fixierung im abges. Mode:
(Mache gleich nach diesem Beitrag einen NS, um zu sehen, was Sache ist...):

Logfile of HijackThis v1.99.0
Scan saved at 15:59:43, on 05.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\PCSUITE\DATALAYER\DATALAYER.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\TOOLS\NCLTRAY.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\BETA\TEATIMER.EXE
C:\PROGRAMME\JAP\JAP.EXE
C:\PROGRAMME\JAVA\J2RE1.4.1_02\BIN\JAVAW.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\PCSUITE\SERVICES\SERVICELAYER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\BETA\SPYBOTSD.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [NAV CfgWiz] C:\PROGRA~1\NORTON~1\CFGWIZ.EXE /R
O4 - HKLM\..\Run: [Bouncer RunStartup] C:\Programme\Bouncer\liveupdate.exe 110
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\beta\TeaTimer.exe
O4 - Startup: Verknüpfung mit mapOchar.exe.lnk = C:\WINDOWS\Desktop\mapOchar.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: JAP.lnk = C:\Programme\Jap\jap.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDPB.DLL

------------------------------------------------------------------------

SPYBOT war im abges. Modus komplett OHNE FEHLER! Getreu dem Motto: „Gratulation. Keine Spione gefunden!”

Nach Neustart sagt er dies:

Spybot:
--- Search result list ---
Common hijacker: Umgeleiteter Host (Umgeleiteter Host, nothing done)


Common hijacker: Umgeleiteter Host (Umgeleiteter Host, nothing done)


CoolWWWSearch.Bootconf: Umgeleiteter Host (Umgeleiteter Host, nothing done)


CoolWWWSearch.Loadbat: Umgeleiteter Host (Umgeleiteter Host, nothing done)


CoolWWWSearch.Msconfd: Umgeleiteter Host (Umgeleiteter Host, nothing done)


CoolWWWSearch.Oslogo: Umgeleiteter Host (Umgeleiteter Host, nothing done)


CoolWWWSearch.Tapicfg: Umgeleiteter Host (Umgeleiteter Host, nothing done)


CoolWWWSearch.Xmlmimefilter: Umgeleiteter Host (Umgeleiteter Host, nothing done)


IGetNet: Umgeleiteter Host (Umgeleiteter Host, nothing done)



--- Spybot - Search & Destroy version: 1.4 ß2 (build: 20041211) ---

2005-01-04 unins000.exe (51.15.0.0)
2004-09-27 blindman.exe (1.0.0.0)
2004-12-11 SpybotSD.exe (1.4.0.0)
2004-12-06 TeaTimer.exe (1.4.0.0)
2004-09-27 Update.exe (1.3.0.0)
2004-11-29 advcheck.dll (1.0.1.0)
2004-09-27 borlndmm.dll (7.0.4.453)
2004-09-27 delphimm.dll (7.0.4.453)
2004-10-20 SDHelper.dll (1.3.0.12)
2004-09-27 Tools.dll (2.0.0.0)
2004-09-27 UnzDll.dll (1.73.1.1)
2004-09-27 ZipDll.dll (1.73.2.0)
2004-11-29 Includes\Cookies.sbi (*)
2004-12-15 Includes\Dialer.sbi (*)
2004-12-16 Includes\Hijackers.sbi (*)
2004-12-15 Includes\Keyloggers.sbi (*)
2004-12-15 Includes\Malware.sbi (*)
2004-11-29 Includes\Revision.sbi (*)
2004-11-29 Includes\Security.sbi (*)
2004-12-16 Includes\Spybots.sbi (*)
2004-12-15 Includes\Trojans.sbi (*)
2004-08-11 Includes\plugin-ignore.ini
2004-11-29 Includes\Tracks.uti (*)



--- System information ---
Windows 98 (Build: 2222) A
/ DirectX: DirectX Update 819696
/ DataAccess: Buffer Overrun in Microsoft Data Access Components Could Lead to Code Execution
/ DataAccess: Microsoft Data Access Components KB870669
/ Windows Media Player: Windows Media Update 817787
/ Windows Media Player: Windows Media Update 320920
/ Windows Media Player: Windows Media Update 819639
/ Windows Media Player: Windows Media Update 837272
/ .NETFramework / 1.1: Microsoft .NET Framework 1.1 Service Pack 1 (KB867460)
/ MSXML4: Patch Available For XMLHTTP Vulnerability
------------------------------------------------------------------

Als weiteres PROBLEM zeigt sich der VIRUS/TROJANER:

Suchergebnisse:
Suche starten: 05.01.05 15:01:03
suche anhalten: 05.01.05 15:09:56
durchsuchte Objekte: 132481
gefundene Objekte: 34
gefunden und ignoriert: 0
verwendete Werkzeuge: General Scanner, Process Scanner, Hosts scanner, LSP Scanner, Registry Scanner, Cookie Scanner, Browser Defaults, Favorites and ZoneMap Scanner, Browser Scanner, Laufwerk Scanner



Name der Infizierung Standort Risiko
Virtual Bouncer HKCR\ChilkatZip.ChilkatEnum Mittel
Virtual Bouncer HKCR\ChilkatZip.ChilkatEnum.1 Mittel
Virtual Bouncer HKCR\ChilkatZip.ChilkatZip Mittel
Virtual Bouncer HKCR\ChilkatZip.ChilkatZip.1 Mittel
Virtual Bouncer HKCR\ChilkatZip.ChilkatZip2 Mittel
Virtual Bouncer HKCR\ChilkatZip.ChilkatZip2.1 Mittel
Virtual Bouncer HKCR\ChilkatZip.ChilkatZipEntry Mittel
Virtual Bouncer HKCR\ChilkatZip.ChilkatZipEntry.1 Mittel
Virtual Bouncer HKCR\ChilkatZip.ChilkatZipEntry2 Mittel
Virtual Bouncer HKCR\ChilkatZip.ChilkatZipEntry2.1 Mittel
Virtual Bouncer HKCR\ChilkatZip.ZipProperties Mittel
Virtual Bouncer HKCR\ChilkatZip.ZipProperties.1 Mittel
Virtual Bouncer HKCR\clsid\{18BBDF4D-611D-41CE-A7E7-B2DD23C250D1} Mittel
Virtual Bouncer HKCR\clsid\{8551311D-F3BF-4718-AD66-96E302500735} Mittel
Virtual Bouncer HKCR\clsid\{CE23505D-68FB-4C49-AE4B-D4F1CF86A2C4} Mittel
Virtual Bouncer HKCR\clsid\{DB90DEA9-0897-4B02-9FE0-1E321A22EAB0} Mittel
Virtual Bouncer HKCR\clsid\{DB92433D-1902-4789-BAFC-B46B0DCDEBB7} Mittel
Virtual Bouncer HKCR\clsid\{EC352548-52B5-41AC-B8C1-8CB561ECF7AD} Mittel
Virtual Bouncer HKCR\Interface\{13C243A0-50E9-43F4-8E5B-9FF857C3A0B5} Mittel
Virtual Bouncer HKCR\Interface\{4340DF8E-D7A3-4675-BE74-80077B2B3E81} Mittel
Virtual Bouncer HKCR\Interface\{4A277E1B-B130-4E4A-92AE-8712F4A150BD} Mittel
Virtual Bouncer HKCR\Interface\{4B795337-D704-49C7-8CA1-D65722B28EBD} Mittel
Virtual Bouncer HKCR\Interface\{6D37DED8-1944-4E32-93FD-B9610E0AD8E3} Mittel
Virtual Bouncer HKCR\Interface\{8DD9B882-0041-449D-A0BD-77A87119AD90} Mittel
Virtual Bouncer HKCR\Interface\{92DD4B20-DE93-4F74-8BCA-EC7F88FDAC5D} Mittel
Virtual Bouncer HKCR\Interface\{950695DA-8F77-4852-AD93-8C1E64995D4B} Mittel
Virtual Bouncer HKCR\TypeLib\{6F65ED0D-066E-4C92-B442-2704E7B64111} Mittel
Virtual Bouncer HKLM\SOFTWARE\Chilkat Software, Inc.\ChilkatZip.ChilkatZip Mittel
Virtual Bouncer {18BBDF4D-611D-41CE-A7E7-B2DD23C250D1} Mittel
Virtual Bouncer {8551311D-F3BF-4718-AD66-96E302500735} Mittel
Virtual Bouncer {CE23505D-68FB-4C49-AE4B-D4F1CF86A2C4} Mittel
Virtual Bouncer {DB90DEA9-0897-4B02-9FE0-1E321A22EAB0} Mittel
Virtual Bouncer {DB92433D-1902-4789-BAFC-B46B0DCDEBB7} Mittel
Virtual Bouncer {EC352548-52B5-41AC-B8C1-8CB561ECF7AD} Mittel


Hatte ALLE FEHLER EINZEL MANUELL IM ABGES: MODUS aus der Reg. entfernt und nochmals laufen lassen-Kein Fehler mehr da! Kaum Neustart-schon wieder alles komplett da! Was ist das eigentlich Chilkat?

ninja-2 05.01.2005 16:21
Habe inzwischen im TEMP-Ordner eine „bw2.exe”-Datei drauf?
Was ist denn das nun schon wieder?

Jetzt habe ich Neustart gemacht und...

Logfile of HijackThis v1.99.0
Scan saved at 16:20:02, on 05.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\PCSUITE\DATALAYER\DATALAYER.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\TOOLS\NCLTRAY.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\BETA\TEATIMER.EXE
C:\WINDOWS\DESKTOP\MAPOCHAR.EXE
C:\PROGRAMME\JAP\JAP.EXE
C:\PROGRAMME\JAVA\J2RE1.4.1_02\BIN\JAVAW.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\PCSUITE\SERVICES\SERVICELAYER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\BOUNCER\BOUNCER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\BETA\SPYBOTSD.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [NAV CfgWiz] C:\PROGRA~1\NORTON~1\CFGWIZ.EXE /R
O4 - HKLM\..\Run: [Bouncer RunStartup] C:\Programme\Bouncer\liveupdate.exe 110
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\beta\TeaTimer.exe
O4 - Startup: Verknüpfung mit mapOchar.exe.lnk = C:\WINDOWS\Desktop\mapOchar.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: JAP.lnk = C:\Programme\Jap\jap.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDPB.DLL



Ich weiß nicht mehr WEITER!

Cidre 05.01.2005 17:30
Fixe im abgesicherten Modus:
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [Bouncer RunStartup] C:\Programme\Bouncer\liveupdate.exe 110

Löschen:
c:\windows\SYSTEM\wucrtupd.exe
Ordner C:\Programme\Bouncer

- Neustart

Lade anschliessend DllCompare.
Doppelklick auf DllCompare.exe -> Run locate.com -> wenn der Scan erfolgt ist "Compare" klicken -> wenn auch dieser Scan fertig ist "Make a Log of what was found" klicken -> Inhalt des Logs posten

Was ergab die Überprüfung durch eScan?

ninja-2 05.01.2005 20:34
* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:\WINDOWS\SYSTEM\mbwsosp.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\oje2conv.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\dxkapi16.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\cdusalgo.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\rkfedit.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\shmscrpt.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\lilma90n.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\rfsapi16.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\mt3216.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\izcvid.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\ipsclass.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\mhtext35.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\mfyuv.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\emlate32.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\dqlmsc32.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\oumreg.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\rdcltccm.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\dtgsig.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\ldnkinfo.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\mmvcrt20.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\qavd.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\mfc42enu.dll Wed Jun 17 1998 2:08:32a A.SH. 53,248 52.00 K
C:\WINDOWS\SYSTEM\auist5.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\thbctde.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\ldeps90n.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\dfgsig.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\vv40032.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\lplmb80n.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\gypane2.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\dkusic.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\morle32.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\djdrm.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\its.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\cagwiz.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\rxclts3.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\rive.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\ovtext32.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\isagx5.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\lytrn13.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\dqmsvinn.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\dtlcpy32.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\mtjter40.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\mystkprp.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\dyldev32.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
C:\WINDOWS\SYSTEM\mjvcr70.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K
________________________________________________

1,096 items found: 1,096 files (45 H/S), 0 directories.
Total of file sizes: 215,961,258 bytes 205.95 M

--------------------End log---------------------


HIJ im abgesicherten Modus:
Logfile of HijackThis v1.99.0
Scan saved at 20:04:12, on 05.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [NAV CfgWiz] C:\PROGRA~1\NORTON~1\CFGWIZ.EXE /R
O4 - HKLM\..\Run: [zSPGuard] c:\programme\pjw\spguard\spguard.exe /s /r
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: Verknüpfung mit mapOchar.exe.lnk = C:\WINDOWS\Desktop\mapOchar.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: JAP.lnk = C:\Programme\Jap\jap.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

------------------------------------------------------------------

ninja-2 05.01.2005 20:41
* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:\bootlog.txt Wed Jan 5 2005 8:29:30p A..H. 73,746 72.02 K
C:\bootlog.prv Wed Jan 5 2005 8:26:46p A..H. 109,009 106.45 K
C:\io.sys Wed May 5 1999 10:22:00p ..SHR 222,390 217.18 K
C:\msdos.sys Wed Aug 7 2002 10:07:38p A.SHR 1,687 1.64 K
C:\system.1st Wed Sep 15 1999 2:06:56p ...HR 679,968 664.03 K
C:\verknš~1.lnk Wed Jan 5 2005 11:14:48a A.... 192 0.19 K
C:\fwwjaw3w.sys Fri Jun 14 2002 3:30:58p A.SH. 960 0.94 K
C:\fwwjao30.sys Wed May 5 1999 10:22:00p A.SH. 960 0.94 K
C:\dblspace.ini Fri May 24 2002 9:18:24a ..SHR 84 0.08 K
C:\drvspace.bin Wed May 5 1999 10:22:00p ..SHR 69,079 67.46 K
C:\dblspace.bin Wed May 5 1999 10:22:00p ..SHR 69,079 67.46 K
C:\detlog.txt Mon Oct 11 2004 12:42:56p A.SH. 76,521 74.73 K
C:\iou.sys Fri Aug 9 2002 12:37:42p ..SHR 4 0.00 K
C:\system.new Fri Dec 6 2002 8:29:24p ...HR 6,021,152 5.74 M
C:\treeinfo.wc Thu Mar 25 2004 7:50:14p ...H. 120,923 118.09 K
C:\videorom.bin Tue Apr 13 2004 6:03:36p ..SH. 32,256 31.50 K
C:\detlog.old Wed Oct 6 2004 5:19:12p ..SH. 76,442 74.65 K
________________________________________________

87 items found: 49 files (16 H/S), 38 directories (3 H/S).
Total of file sizes: 12,753,089 bytes 12.16 M

--------------------End log---------------------


Habe keinen escan. Hatte die demoversion heruntergeladen, die ist jetzt abgelaufen. Habe ja auch Norton AV mit Update. Das lässt sich -trotz mehrmaliger Installation- nicht mehr starten?

Kennst Du hierfür einen Grund?
Seit ich diese Trojas habe, hat Norton das Shield abgebrochen und startet nur noch im DOS-Modus! Dort sagt er: KEIN VIRUS!


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:32 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58