|
Dropper PurScan.B Wen ich mich über Outlook oder Internet-Explorer einlogge, werde ich sofort an eine Hompage mit der Adresse: www.sodhell.com/survey weitergeleitet. Dann möchte sich eine Datei oder Programm installieren. Wenn ich "Nein" anklicke ist vorerst Ruhe. Mein Virenschutzprogramm hat folgende Meldungen rausgeschrieben: 12.07.2004,16:03:17 [INFO] Start Filter Device. 12.07.2004,16:03:17 [INIT] AntiVirService Version: 6.26.00.10 AVE Version 6.26.0.5 VDF Version: 6.26.0.22 12.07.2004,16:03:17 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet! 12.07.2004,16:29:48 [WARNUNG] Enthält Signatur des Droppers DR/PurScan.B! C:\DOKUMENTE UND EINSTELLUNGEN\BLEISTEINER PETER\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\4HOJE94N\MTRSLIB2[1].JS [FEHLER] Die Datei konnte nicht gelöscht werden! 0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. Hier mein Logfile von HijackThis: Logfile of HijackThis v1.98.0 Scan saved at 17:12:30, on 14.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\WFXSVC.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Apoint\Apoint.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\ATK0100\Hcontrol.exe C:\Programme\Apoint\Apntex.exe C:\WINDOWS\System32\ICO.EXE C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\Sony\HotKey Utility\HKserv.exe C:\Programme\sony\vaio power management\SPMgr.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Programme\sony\vaio update 2\VAIOUpdt.exe C:\Programme\sony\isb utility\ISBMgr.exe C:\Programme\Sony\HotKey Utility\HKWnd.exe C:\Programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe C:\WINDOWS\System32\NILaunch.exe C:\WINDOWS\System32\wfxsnt40.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Trojancheck 6\tcguard.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuamagr32.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\lexreg.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/ F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\sony\vaio power management\SPMgr.exe O4 - HKLM\..\Run: [VAIO Update 2] "C:\Programme\sony\vaio update 2\VAIOUpdt.exe" /Stationary O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\sony\isb utility\ISBMgr.exe O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe /StartUp O4 - HKLM\..\Run: [VPS] C:\Programme\sony\ProductSurvey\VPS.exe /SCHEDULER O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe O4 - HKLM\..\Run: [Microsoft Update] wuamagr32.exe O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\riusy.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe O4 - HKLM\..\RunServices: [Microsoft Update] wuamagr32.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Microsoft Update] wuamagr32.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/ O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O17 - HKLM\System\CCS\Services\Tcpip\..\{CB70328C-0327-4FAE-AFDD-53D9104735CC}: NameServer = 217.237.151.97 194.25.2.129 Vielleicht kann mir jemand helfen. Vielen Dank im voraus. PeterB |
Hallo and Welcome im Trojaner Board Hier die automatische Auswertung deines Logfiles - bitte im abgesicherten Modus fixen e Scan , updaten , Häkchen wie abgebildet setzen und ebenfalls im a.Modus scannen Entfernung von Trojanern |
Zitat:
Vielen Dank, hab ich so wie beschrieben gemacht mit Erfolg. PeterB |
hallo, hoffentlich kann mir hier jemand helfen. antivir hat mir folgendes gemeldet: TR\DLdr.Psyme.Q TR/Spy.spot Purscan.B HTML.MHTREDIR.G da ich mich nicht so auskenne, habe ich voller panik die dateien gelöscht. außerdem ging bei mir beim öffnen von internet explorer immer die seite www.hotwebsearch.de auf. ich habe die dinger zwar gelöscht, aber ich glaube, sie sind noch da. hoffentlich könnt ihr mir sagen, wie ich diese trojaner unschädlich machen kann. vielleicht kann mir auch jemand sagen, was diese trojaner bewirken. :heulen: gruß tina |
@tina Scan mal hiermit im abg. Modus: http://www.trojaner-board.com/showthread.php?t=6083 Danach poste ein HijackThis-Log. |
hallo Christian, ich komme überhaupt nicht in den abgesicherten Modus rein. gruss tina |
Warum nicht? Beim Booten F8 taste drücken. |
Beim Starten von Windows F8 drücken, dann kommt ein Menü, wo du den Abgesicherten Modus auswählst. Eventuell brauchst du ein paar Versuche. :) Alternativ geht es auch so: Start/ausführen/"msconfig" eingeben/Boot.ini/Häkchen bei /safeboot reinmachen und dann neustarten Den Haken musst du dann aber wieder rausnehmen, damit du wieder im normalen Modus starten kannst. |
das mit f8 klappt nicht, das andere klappt nur komm ich dann nicht ins internet. :balla: es hängt vielleicht auch daran, dass ich mich nich so gut auskenne |
Das ist schon ok so, dass du nicht ins Internet kommst. :) Du sollst ja im Abgesicherten Modus nur E-Scan ausführen, wie im Link erklärt, wenn du das gemacht hast, machst du das Häkchen wieder raus, startest ganz normal und machst ein Logfile mit Hijackthis. http://www.hijackthis.de/hijackthis_198.zip Einfach in einen eigenen Ordner entpacken, starten, dann Scan drücken und danach Save log. Dieses Log postest du dann hier, du kannst es dir auch auf http://www.hijackthis.de/ schon mal vorläufig auswerten lassen. |
so jetzt hab ichs: Logfile of HijackThis v1.98.0 Scan saved at 04:33:02, on 02.08.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.com/access/allinone.asp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir...er=6.0&ar=home R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\YAHOO\Messenger\ycomp.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\3.bin\MWSBAR.DLL O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Programme\NavExcel\NavHelper\v2.0.4\NHelper.dll (file missing) O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\YAHOO\Messenger\ycomp.dll (file missing) O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1601.0\de\msntb.dll O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\3.bin\MWSBAR.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {6EF3AE25-5A7D-40C2-9B44-9ED0068621C0} - (no file) O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [QuickTime Task] "D:\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] "D:\antivir\AVGNT.EXE" /min O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe O4 - HKLM\..\Run: [Tsa] C:\PROGRA~1\COMMON~1\tsa\tsm.exe O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\TINA\TROJANCHECK\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\Martina\LOKALE~1\Temp\mwavscan.com" /s O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE O4 - Global Startup: PC Alert 4.lnk = C:\Programme\MSI\PC Alert 4\PCAlert4.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\AIM\aim.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\TINA\msn\MESSEN~1\YPAGER.EXE O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\TINA\msn\MESSEN~1\YPAGER.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/0531d87046e1b80...zip/RdxIE2.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab O16 - DPF: {FE1A240F-B247-4E06-A600-30E28F5AF3A0} - http://toolbar2.globalwebsearch.com/winenc32.cab |
Die automatische Auswertung deines Logfiles siehst du hier: http://www.hijackthis.de/logfiles/68...0d9c8ff96.html NavHelper kannst du zunächst mal normal deinstallieren, Anleitung findest du hier: http://www.pestpatrol.com/PestInfo/n/navexcel.asp Die anderen roten und gelben Einträge solltest du fixen, indem du den PC wieder im Abgesicherten Modus startest, und dann in Hijackthis die entsprechenden Einträge markierst und auf "Fix" klickst. Danach wieder normal starten und das Problem ist hoffentlich behoben. Diese Websearch-Komponenten sind Ad-Aware, das heisst, ein anderes Programm, dass du installiert hast, ein Mediaplayer oder Screensaver o.ä., den du dir heruntergeladen hast, hat dies heimlich installiert, es kann passieren, dass dieser dann nicht mehr funktioniert, da solltest du dir dann eine Alternative suchen, möglichst von einer vertrauenswürdigen Seite. Auch einen Scan mit Ad-Aware http://www.lavasoftusa.com/software/adaware/ und Spybot http://beam.to/spybotsd solltest du anschliessend noch mal durchführen. Dann solltest du eventuell überlegen, wie du dir die Viren eingefangen hast, eventuell den Browser wechseln, firefox, opera sind besser und sicherer als der IE und immer aufpassen, wo man etwas runterlädt oder welche emailanhänge man öffnet. |
das hab ich jetzt gemacht im abgesicherten modus. danach hat mir escan wieder 8 neue viren gemeldet. den navhelper krieg ich auch nicht weg. ich bin sehr unsicher. |
Hast du mal adaware und spybot durchlaufen lassen? Weisst du noch, welche Viren wo gefunden wurden? Hattest du E-Scan demnach schon einmal laufen und jetzt sind zusätzliche neue Viren aufgetaucht? |
hallo, das war der navhelper. ich krieg sie aber nicht weg. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:22 Uhr. |
Copyright ©2000-2025, Trojaner-Board