|
Kreeper3 + Ist.15360.A HILFE!!! Hallo zusammen, hab gerade dank der Hilfe dieses Forums einige Trojaner von meinem PC enfernen können, aber mit den obigen komme ich nicht klar.Vielleicht kann mir jmd weiterhelfen? Logfile of HijackThis v1.99.0 Scan saved at 18:40:52, on 20.01.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\ATI2EVXX.EXE C:\PROGRAMME\SYGATE\SPF\SMC.EXE C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE C:\PROGRAMME\AHEAD\INCD\INCD.EXE C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\FRN_INBC\FRN_INBC.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\EIGENE DATEIEN\SIMON\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080 F1 - win.ini: run=hpfsched O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx O16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) - file://C:\Programme\AutoCAD 2002 Deu\SysVerChk.ocx O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx Merci |
Zitat:
Hallo, ähm,welche Trojaner hast du wo entfernt? Eigeninitiative ist zwar lobenswert,aber nicht immer sinnvoll.... |
Der Trojaner war IstBar.A Hab ihn mit der hijackthis online auswertung gefixt?! |
Mach bitte mal einen escan im abgesicherten Modus,gehe dazu genau nach dieser Anleitung vor http://www.trojaner-board.de/42731-escan-anleitung.html Download von escan: http://www.mwti.net/antivirus/free_utilities.asp Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert) |
Hab den escan laufen lassen und hier die betroffenen Dateien Vielleicht hilfts ja was. Ein Scan mit Antivir zeigt zudem noch die Viren TR Downloader Win32.Ist.15360.A und TR Downloader Win 32.Kreeper3 Thu Jan 20 21:08:40 2005 => Scanning File C:\WINDOWS\QuickBrowser.exe Thu Jan 20 21:08:50 2005 => File C:\WINDOWS\QuickBrowser.exe infected by "Trojan.Win32.QuickBrowser.c" Virus. Action Taken: No Action Taken. Thu Jan 20 21:08:50 2005 => Scanning File C:\WINDOWS\QuickBrowserUpgrader.exe Thu Jan 20 21:08:50 2005 => File C:\WINDOWS\QuickBrowserUpgrader.exe infected by "Trojan.Win32.QuickBrowser.c" Virus. Action Taken: No Action Taken. Thu Jan 20 21:11:22 2005 => Scanning File C:\WINDOWS\TEMP\II22.exe Thu Jan 20 21:11:23 2005 => File C:\WINDOWS\TEMP\II22.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken. Thu Jan 20 21:11:23 2005 => Scanning File C:\WINDOWS\TEMP\IIB190.TMP Thu Jan 20 21:11:24 2005 => File C:\WINDOWS\TEMP\IIB190.TMP infected by "Trojan.Win32.Qhost.x" Virus. Action Taken: No Action Taken. Thu Jan 20 21:12:29 2005 => Scanning File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\UHWZ6X4H\ast_abi_hst[2].exe Thu Jan 20 21:12:30 2005 => File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\UHWZ6X4H\ast_abi_hst[2].exe infected by "Trojan.Win32.Qhost.x" Virus. Action Taken: No Action Taken Thu Jan 20 21:12:33 2005 => Scanning File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\UHWZ6X4H\dst_abi[3].exe Thu Jan 20 21:12:34 2005 => File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\UHWZ6X4H\dst_abi[3].exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken. Thu Jan 20 21:14:27 2005 => Scanning File C:\_RESTORE\ARCHIVE\FS31.CAB Thu Jan 20 21:14:28 2005 => File C:\_RESTORE\ARCHIVE\FS31.CAB infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken. Thu Jan 20 21:14:44 2005 => Scanning File C:\_RESTORE\ARCHIVE\FS50.CAB Thu Jan 20 21:14:45 2005 => File C:\_RESTORE\ARCHIVE\FS50.CAB infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken. Thu Jan 20 21:14:45 2005 => Scanning File C:\_RESTORE\ARCHIVE\FS23.CAB Thu Jan 20 21:14:47 2005 => File C:\_RESTORE\ARCHIVE\FS23.CAB infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken. Danke für die Hilfe!!! |
@Simon101101 deaktiviere der systemwiederherstellung, diese dateien in abgesicherten modus manuell löschen C:\WINDOWS\QuickBrowser.exe C:\WINDOWS\QuickBrowserUpgrader.exe neu booten und systemwiederherstellung aktivieren. lade dir clearprog hier programm starten, alle häkchen bei windows und IE setzen, löschen chaosman |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:54 Uhr. |
Copyright ©2000-2024, Trojaner-Board