|
Jpegs wollen nicht. Hallo Also heute scheint wirklich ein schwarzer Tag für mich zu sein. Kaum hab ich meinen neuen Internetanschluß bekommen und war gerade mal 5 Minuten im Netz (inklusive aller möglichen Schutzvorkehrungen), da erwischt mich doch so ein wirklich mieser Virus, den ich nach stundenlangen telefonierens mit Hilfe eines Freundes und des Hijackthis 1.99.1 besiegt habe. Dumm nur, dass ich wohl eine Datei, die für das Öffnen von Jpegs auf Internetseiten verantwortlich ist, wohl auch gelöscht habe und jetzt bei jedem Start die Nachricht kommt, dass folgendes Modul nicht geöffnet werden kann: C:\Dokumente~1\MCKE~1\Lokale~1\Temp\se.dll könnte mir vielleicht von Euch jemand weiterhelfen? Wär wirklich super Klasse. |
@bongstarboy poste ein HJT logfile chaosman |
Logfile of HijackThis v1.99.1 Scan saved at 12:20:56, on 19.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Programme\Spyware remover\Antivir\AVGUARD.EXE D:\Programme\Spyware remover\Antivir\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe D:\programme\playaz\musicmatch jukebox\mmtask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\Programme\playaz\itune\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe D:\Programme\playaz\winamp 2.9\Winamp\winampa.exe D:\Programme\Spyware remover\Antivir\AVGNT.EXE C:\Programme\ArchiCrypt Stealth\ACStealth.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\ACD Systems\ImageFox\ImageFox.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Internet Explorer\iexplore.exe D:\Programme\Spyware remover\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=localhost:8080 O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [mmtask] d:\programme\playaz\musicmatch jukebox\mmtask.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\playaz\itune\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] D:\Programme\playaz\winamp 2.9\Winamp\winampa.exe O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent O4 - HKLM\..\Run: [AccG160] D:\PROGRA~1\modem\AccG160.exe O4 - HKLM\..\Run: [WLAN Quick-Starter] "D:\Programme\modem\WLAN Quick-Starter.exe" -update O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\MCKE~1\LOKALE~1\Temp\se.dll,DllInstall O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\Spyware remover\Antivir\AVGNT.EXE /min O4 - HKCU\..\Run: [ArchiCrypt Stealth] C:\Programme\ArchiCrypt Stealth\ACStealth.exe -HIDE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O4 - Global Startup: ImageFox.lnk = ? O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\Spyware remover\Antivir\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\Spyware remover\Antivir\AVWUPSRV.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: License Event Messaging (WksPatch) - Unknown owner - C:\WINDOWS\System32\drivers\svchost.exe (file missing) hoffe, das Hilft beim Problem! |
Hallo, Zitat:
Zitat:
usw. Imho liegen schwerwiegende Probleme bezüglich Malware bei dir vor. Führe deshalb dies aus: Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben. Poste anschliessend die Virus Log Information von eScan AntiVirus: Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. |
Hier die gefundenen Viren: t Feb 19 13:03:24 2005 => File C:\WINDOWS\system32\AFINNHJE infected by "Email-Worm.Win32.Hybris.b" Virus. Action Taken: No Action Taken. t Feb 19 13:04:12 2005 => File C:\WINDOWS\system32\IKGKFLFC infected by "Email-Worm.Win32.Hybris.b" Virus. Action Taken: No Action Taken. Feb 19 13:06:22 2005 => File C:\DOKUME~1\MCKE~1\LOKALE~1\Temp\cd_clint.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken. t Feb 19 13:07:48 2005 => File C:\DOKUME~1\MCKE~1\LOKALE~1\Temp\THI751F.tmp\preInsTT.exe infected by "not-a-virus:AdWare.BiSpy.f" Virus. Action Taken: No Action Taken. t Feb 19 13:07:50 2005 => File C:\DOKUME~1\MCKE~1\LOKALE~1\Temp\update_1.exe infected by "not-a-virus:AdWare.WinFetcher" Virus. Action Taken: No Action Taken. Sat Feb 19 13:08:28 2005 => File C:\DOKUME~1\MCKE~1\LOKALE~1\Temp\WinWildApp.exe infected by "not-a-virus:AdWare.WinFetcher" Virus. Action Taken: No Action Taken. Sat Feb 19 13:08:37 2005 => File C:\DOKUME~1\MCKE~1\LOKALE~1\Temp\__unin__.exe infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken. |
Mann, danke für den letzten Tip. Es poppen keine Fehlermeldungen mehr auf, worüber ich äußerst froh bin, auch wenn ich weiß, dass noch ein paar Trojaner mein System belauern. Mein Internet fetzt wieder wie geschmiert. |
Zitat:
mfg net ---------- meine Vorgehensweise würde so aussehen ... warte aber bitte ab, was da von Cidre an Anweisungen kommt lade dir clearprog runter a) deaktiviere die Systemwiederherstellung: Start/Systemsteuerung/System/Systemwiederherstellung/Systemwiederherstellung deaktivieren (Systemwiederherstellungspunkte gehen dabei verloren, man sollte also möglichst auf eine andere Sicherung zugreifen können) b) Systemdateien / Datei-Erweiterungen anzeigen lassen durch folgende Einstellungen : Windows Explorer -> Reiter: "Extras/Ordneroptionen" -> Reiter: "Ansicht" -> Haken entfernen bei "Erweiterungen bei bekannten Dateitypen ausblenden" u. "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren ...... ok klicken und für alle Ordner übernehmen c) leere deine Temp-Ordner mit clearprog d) http://www.sophos.de/virusinfo/analyses/w32hybrisb.html (Wiederherstellung) oder Strg+Alt+Entf (Taskmanager/Prozesse) suche nach einem Task (*) mit 8 zufälligen Zeichen (z. B. FHJENJXE) und beende ihn. (Falls du hier nichts auffälliges findest, um so besser ... dann könntest du Glück haben und das Ding ist/war nicht aktiv) Öffne die win.ini (c:\windows\) mit dem Editor (öffnen mit) und such einen Eintrag: run= ...(*).. der auf die (*).EXE-Datei (den Task*) verweist den/die du gerade vorher beendet haben solltest. (Falls hier kein Eintrag besteht, um so besser ... dann könntest du Glück haben und das Ding ist/war nicht aktiv) Lösche den Dateinamen aus dieser Zeile. Such die (*).EXE im Windows-Systemverzeichnis und lösche sie (oder benenne sie um in z.B. FHJENJXE.EXE.OLD ) .... ob aktiv oder nicht ... lösche auf jeden Fall die beiden: File C:\WINDOWS\system32\AFINNHJE File C:\WINDOWS\system32\IKGKFLFC e) Edit: WSOCK32.DLL ersetzen oder reparieren reboot in abgesicherten Modus (F8), erneuter eScan, neues Ergebnis posten |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:38 Uhr. |
Copyright ©2000-2024, Trojaner-Board