|
Trojaner VX2 + Solutions180 Hallo zusammen, ich bin zur Zeit im Ausland tätig und die wenige Zeit zuhause muss ich doch tatsächlich damit verbringen, zu versuchen einen Hijacker von meinem System zu eliminieren. ÄRGERLICH!!! Wie gesagt, ich versuche! ... komme aber nicht wirklich klar und habe in meinem Explorer (egal ob IE oder Firefox) ständig die <lb3.netster/..> Startseite. Mit ad-aware, AntivirXP, Spybot und CWshredder (in den aktuellsten Versionen) kam ich nicht weiter! Heute habe ich escan 5.1.4 im abgesicherten Modi drüber lauen lassen und das hat mir "180solution/Spyware" und "VX2/Spyware" angezeigt. Hier mein Hijack-Logfile: Logfile of HijackThis v1.98.2 Scan saved at 16:11:02, on 28.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Download\HijackThis19802.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy2.unmik.net:80 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html Das Blöde an der Sache ist natürlich auch, dass ich von der besagten Startseite nicht wegkomme, also online nur über einen Zweitrechner verfüge. Mit dem verseuchten Laptop kann ich machen was ich will, jeder Link bringt mich auf die lb3.netster Seite. Bin Euch für Hilfe ewig dankbar! Gruss Jörg |
Also deine Logfile sieht sauber aus Aber du besitzt eine alte Hijackthis Version Bitte lade dir hier die neuste runter |
Erstelle erneut einen Log mit der aktuellen Verson von Hijackthis. Direktdownload Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) |
Ok, hier die aktuelle Version: Logfile of HijackThis v1.99.1 Scan saved at 16:57:16, on 28.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE c:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Joerg\LOKALE~1\Temp\Rar$EX00.219\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy2.unmik.net:80 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe |
Und bitte noch die Logdatei von Escan. Habs dir oben beschrieben, wie du sie findest |
Log schaut sauber aus, aber 1.) Java ist veraltet 2.) R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy2.unmik.net:80 kenne ich nicht. 3.) Leere mal alle Temp Dateien (System-Temp, TIFs des IE Cache von Firefox z.B. mit www.clearprog.de) 4.) eScan Infos posten 5.) evtl mal den Inhalt der Hosts-Datei posten: Win-Taste + R -> "notepad c:\windows\system32\drivers\etc\hosts" (ohne "")-> Enter-> Inhalt ins Forum kopieren |
Ist heute nicht mein Tag! Gerade eben ist mein Internetverbindungsrechner, mein alter zuverlässiger Athlon 500, mit einem Bluescreen "hardware-malfunction" abgestürzt! Ich habe ihn aber wieder zum Laufen gebracht. Die eScan Ergebnisse deshalb etwas verspätet: Mon Mar 28 15:07:42 2005 => System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken. Mon Mar 28 15:07:42 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Mar 28 15:07:42 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken. Mon Mar 28 15:07:42 2005 => File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken. Könnt ihr damit was anfangen? |
Hosts Inhalt, wie unten beschrieben: # Copyright (c) 1993-1999 Microsoft Corp. # # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP # für Windows 2000 verwendet wird. # # Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen. # Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP- # Adresse sollte in der ersten Spalte gefolgt vom zugehörigen # Hostnamen stehen. # Die IP-Adresse und der Hostname müssen durch mindestens ein # Leerzeichen getrennt sein. # # Zusätzliche Kommentare (so wie in dieser Datei) können in # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden, # aber müssen mit dem Zeichen '#' eingegeben werden. # # Zum Beispiel: # # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost |
Poste bitte folgendes aus der mwav.log (steht ganz am Ende): Zitat:
Zitat:
Zitat:
Zitat:
Win-Taste + R -> regedit-> Enter -> HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{30D02401-6A81-11D0-8274-00C04FD5AE38} sicher bin ich mir aber auch da nicht. EDIT: sollte auch gutartig sein: http://msdn.microsoft.com/workshop/b...browserbar.asp Hosts-Datei schaut gut aus. |
Haui45: Mon Mar 28 15:56:24 2005 => Total Objects Scanned: 2391 Mon Mar 28 15:56:24 2005 => Total Virus(es) Found: 2 Mon Mar 28 15:56:24 2005 => Total Disinfected Files: 0 Mon Mar 28 15:56:24 2005 => Total Files Renamed: 0 Mon Mar 28 15:56:24 2005 => Total Deleted Objects: 0 Mon Mar 28 15:56:24 2005 => Total Errors: 0 Mon Mar 28 15:56:24 2005 => Time Elapsed: 00:02:11 Mon Mar 28 16:09:29 2005 => Virus Database Date: 2005/03/28 Mon Mar 28 16:09:29 2005 => Virus Database Count: 123725 Wenn ich meine XP CD da hätte würde ich das Ding plattmachen. Nervig, nervig! Aber die CD liegt etwa 2000 Km entfernt von hier! |
Zitat:
Du hast eScan falsch ausgeführt. => Scanne dein System erneut mit eScan und halte dich diesmal bitte genau an die Anleitung ("all local drives" muss aktiviert sein) |
So, jetzt sieht das mit dem eScan doch etwas anders aus. Sorry. Wie rücke ich dem(n) Problem(en) jetzt zu Leibe? :balla: Mon Mar 28 15:07:42 2005 => System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken. Mon Mar 28 15:07:42 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Mar 28 15:07:42 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken. Mon Mar 28 15:07:42 2005 => File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Mar 28 18:23:59 2005 => System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken. Mon Mar 28 18:23:59 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Mar 28 18:23:59 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken. Mon Mar 28 18:23:59 2005 => File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Mar 28 18:48:01 2005 => System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken. Mon Mar 28 18:48:01 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Mar 28 18:48:01 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken. Mon Mar 28 18:48:01 2005 => File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Mar 28 19:21:05 2005 => File C:\Dokumente und Einstellungen\Joerg\Eigene Dateien\UNMIK\hijackthis.log infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. Mon Mar 28 19:35:27 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\A0005825.DLL.VIR Mon Mar 28 19:35:27 2005 => File C:\Programme\AVPersonal\INFECTED\A0005825.DLL.VIR tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken. Mon Mar 28 19:35:27 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\A0005826.EXE.VIR Mon Mar 28 19:35:27 2005 => File C:\Programme\AVPersonal\INFECTED\A0005826.EXE.VIR tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken. Mon Mar 28 19:35:27 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\LSAEXT.DLL.VIR Mon Mar 28 19:35:28 2005 => File C:\Programme\AVPersonal\INFECTED\LSAEXT.DLL.VIR tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken. Mon Mar 28 19:35:28 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\PWSERVICE.EXE.VIR Mon Mar 28 19:35:28 2005 => File C:\Programme\AVPersonal\INFECTED\PWSERVICE.EXE.VIR tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken. Mon Mar 28 19:35:28 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\UNAFS.EXE.VIR Mon Mar 28 19:35:28 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\UNIQUE.EXE.VIR Mon Mar 28 19:35:28 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\UNSHADOW.EXE.VIR Mon Mar 28 20:05:13 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP39\A0006087.exe infected by "HackTool.Win32.John" Virus. Action Taken: No Action Taken. Mon Mar 28 19:35:27 2005 => File C:\Programme\AVPersonal\INFECTED\A0005825.DLL.VIR tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken. Mon Mar 28 19:35:27 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\A0005826.EXE.VIR Mon Mar 28 19:35:27 2005 => File C:\Programme\AVPersonal\INFECTED\A0005826.EXE.VIR tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken. Mon Mar 28 19:35:27 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\LSAEXT.DLL.VIR Mon Mar 28 19:35:28 2005 => File C:\Programme\AVPersonal\INFECTED\LSAEXT.DLL.VIR tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken. Mon Mar 28 19:35:28 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\PWSERVICE.EXE.VIR Mon Mar 28 19:35:28 2005 => File C:\Programme\AVPersonal\INFECTED\PWSERVICE.EXE.VIR tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken. Mon Mar 28 19:59:11 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP25\A0004186.exe tagged as not-a-virus:RiskWare.PSWTool.Lopht.205b. No Action Taken. Mon Mar 28 20:05:12 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP39\A0006085.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Mon Mar 28 20:05:13 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP39\A0006089.exe tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken. Mon Mar 28 20:07:29 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP41\A0006401.exe tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken. Mon Mar 28 20:38:08 2005 => Total Objects Scanned: 47778 Mon Mar 28 20:38:08 2005 => Total Virus(es) Found: 13 Mon Mar 28 20:38:08 2005 => Total Disinfected Files: 0 Mon Mar 28 20:38:08 2005 => Total Files Renamed: 0 Mon Mar 28 20:38:08 2005 => Total Deleted Objects: 0 Mon Mar 28 20:38:08 2005 => Total Errors: 8 Mon Mar 28 20:38:08 2005 => Time Elapsed: 01:55:08 Mon Mar 28 20:38:08 2005 => Virus Database Date: 2005/03/28 Mon Mar 28 20:38:08 2005 => Virus Database Count: 123725 Mon Mar 28 20:38:08 2005 => Scan Completed. |
Würde mich auch interessieren meine Schwester hat genau die gleiche auf ihrem PC... |
@DONE Ich weiss leider auch nicht mehr weiter. Beim "richtigen" umfassenden Scan mit eScan wurde auch der Eintrag "HackTool.Win32.John" Virus gefunden. Wie dem auch sei, ich komme da nicht weiter. Ständig die Startseite lb3/netster.., andere Zugriffe sind nicht mehr möglich. Ich weiss nicht genau, werde aber mal versuchen mit einer Start-CD den Systemstart von XP zu umgehen und dann mit den versch. Virenescannern versuchen, was zu erreichen. Wenn das micht klappt ---> Plattmachen. Ist für mich aber, da ich wieder ins Ausland muss, die umständlichste Art. Frage: Macht es Sinn die HJT Log von DONE hier zu posten um evtl. mit meiner zu vergleichen? Ich bin mir letztlich immer noch nicht im klaren, welche(r) Virus/en hier sein Unwesen treibt. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:43 Uhr. |
Copyright ©2000-2024, Trojaner-Board