|
mmmph... BDS/Agent.AY <- -.- Hi erst ma, hab jetz auch den Virus, Trojaner oder was es auch sonst ist BDS/Agent.AY auf meinm pc gefunden. und weiß daher seit ca 45 min das es hijack gibt :o ich hab jetz ma dieses... oder heißt dat diesen... na egal, logfile erstellt (?) und nehme ma an oder hoffe dass ihr damit mehr anfangen könnt als ich wie ihr wahrscheinlich meiner preziesen wortwahl und ausdrucksweiße :D entnommen habt bin ich blutiger anfänger :kloppen: währ also total nett wenn ihr mir helfen könntet slexy so und hier ist.... man ich weiß noch nich ma ob dat "der" oder "das" logfile ("Die schließe ich instinktiv aus ^^ )heißt :crazy: ... auf jedenfall ist das da unten, wenn das richtige überhaupt das ist -.- Logfile of HijackThis v1.99.0 Scan saved at 18:10:40, on 06.01.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE C:\PROGRAMME\COMMONNAME\TOOLBAR\WINNET.EXE C:\PROGRAMME\SOTVRP\TUWQOV.EXE C:\WINDOWS\RUNDLL32.EXE C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\PRECISIONTIME\PRECISIONTIME.EXE C:\WINDOWS\GUARD.EXE C:\PROGRAMME\SOTVRP\VOQWUT.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE D:\SMARTSURFER\SMARTSURFER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\UNZIPPED\HIJACKTHIS199\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://smartsurfer.web.de/Download F1 - win.ini: run=hpfsched O2 - BHO: F1 Organizer Class - {00000EF1-34E3-4633-87C6-1AA7A44296DA} - C:\WINDOWS\SYSTEM\MPZ300.DLL O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} - C:\PROGRAMME\COMMONNAME\TOOLBAR\CNBABE.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE" O4 - HKLM\..\Run: [winnet] C:\PROGRA~1\COMMON~1\TOOLBAR\WINNET.EXE O4 - HKLM\..\Run: [eQpGVwEx] C:\PROGRA~1\SOTVRP\TUWQOV.exe O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe O4 - Startup: ISDN Guard.lnk = C:\WINDOWS\GUARD.EXE O8 - Extra context menu item: Bookmark This Page - C:\Programme\CommonName\Toolbar\createbookmark.htm O8 - Extra context menu item: Add A Page Note - C:\Programme\CommonName\Toolbar\createnote.htm O8 - Extra context menu item: Email This Link - C:\Programme\CommonName\Toolbar\emaillink.htm O8 - Extra context menu item: Search using CommonName - C:\Programme\CommonName\Toolbar\navigate.htm O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: Cached Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Similar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Backward Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O8 - Extra context menu item: Translate into English - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmtrans.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O11 - Options group: [CommonName] CommonName O18 - Protocol hijack: cn - {9346A6BB-1ED0-4174-AFB4-13CD4EC0AA40} |
gefixt werden sollte: F1 - win.ini: run=hpfsched O2 - BHO: F1 Organizer Class - {00000EF1-34E3-4633-87C6-1AA7A44296DA} - C:\WINDOWS\SYSTEM\MPZ300.DLL O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} - C:\PROGRAMME\COMMONNAME\TOOLBAR\CNBABE.DLL O4 - HKLM\..\Run: [winnet] C:\PROGRA~1\COMMON~1\TOOLBAR\WINNET.EXE O4 - HKLM\..\Run: [eQpGVwEx] C:\PROGRA~1\SOTVRP\TUWQOV.exe O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O8 - Extra context menu item: Bookmark This Page - C:\Programme\CommonName\Toolbar\createbookmark.htm O8 - Extra context menu item: Add A Page Note - C:\Programme\CommonName\Toolbar\createnote.htm O8 - Extra context menu item: Email This Link - C:\Programme\CommonName\Toolbar\emaillink.htm O8 - Extra context menu item: Search using CommonName - C:\Programme\CommonName\Toolbar\navigate.htm O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O11 - Options group: [CommonName] CommonName O18 - Protocol hijack: cn - {9346A6BB-1ED0-4174-AFB4-13CD4EC0AA40} zum glück kein virus sondern nur hijacking und spyware achja aber man weiß ja nie also escan von http://www.mwti.net/antivirus/free_utilities.asp runterladen. Poste anschliessend die Virus Log Information von eScan AntiVirus: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. |
ACHTUNG! Bevor du die Einträge fixed, solltest du unter Systemsteuerung -> Software -> New.net oder Newdotnet deinstallieren. Ansonsten kannst du keine Internet Verbindung mehr aufbauen! Scanne anschliessend mit Spybot S&D dein System. Ebenso sollte die Dateien bzw. Ordner entfernt werden! Das sollte nicht gefixed werden: F1 - win.ini: run=hpfsched @ Chris btw: Einen echten Virus hab ich schon lange nicht mehr gesehen. ;) Es ist auch nicht immer wichtig, der erste zu sein der das Log-File auswertet. Die Auswertung sollte genauestens erfolgen und ebenso sollte alles in einem Aufwasch erledigt werden. Nicht erstmal fixen, dann beim nächsten Post löschen usw. In dieser Zeit wird die Malware schon wieder aktiv! |
echt? ich hab heute schonwieder einen durch google nette links sogar aufm system gehabt.. (nya den virus hab ich ja unter 10minuten wieder vom system gehabt) nya hab hald zum browsen einmal den IE benutzt,nachdem ich bei windowsupdate war |
Du weisst was ein Virus ist? Trojaner und Würmer sind nicht dasselbe, umgangssprachlich wird das Wort aber falsch benutzt. |
ach fehler in der sprache. ich meine trojaner und wurm. ich nehm nur den sammelbegriff dazu. fachlich ausgedrückt sagt man nicht virus sondern trojaner oder wurm. ich verwende es hald als sammelbegriff. |
|
OK, danke erstma aber: Zitat:
Fehler beim Abschliessen der Bereinigung. Weitere Infos im Log-File Programm wird beendet und Zitat:
|
hm.. hab da net nachgeschaut was des is sondern einfach mal intuitiv gesagt das is irgendwas unnützes. |
Wenn dir @ Chris14 es beschrieben hätte, dann bräuchte ich es nicht erklären.;) Wichtig: Alles Aktivitäten im abgesicherten Modus ausführen! Diese Dateien löschen: Ordner C:\Programme\NewDotNet Ordner C:\PROGRAMME\COMMONNAME\TOOLBAR C:\WINDOWS\SYSTEM\MPZ300.DLL und zusätzlich die von eScan beanstandeten Dateien |
achja. ich hab bereits aufgehört darauf zu antworten. du hast ja "übernommen". sonst, jep die ordner mit dateien gehören im abgesicherten modus entfernt.und jep ich sollte mir wohl mal zeit geben das log auszuwerten. (hab mal n bissal was übersprungen wie dieser eintrag in der win.ini). hast mich hald ausm konzept gebracht^^ aber trotzdem thx. dem new.net bin ich noch net begegnet, deswegen dieser anfängerfehler |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:15 Uhr. |
Copyright ©2000-2025, Trojaner-Board