Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Search Extender (https://www.trojaner-board.de/8551-search-extender.html)

Bond999 18.10.2004 10:58
Search Extender
 
Hallo ich ahbe mir den Search Extender eingefangen.
Ist das schlimm? Hoffe nicht! Wenn ja was muss ich machen?
Bond999

chaosman 18.10.2004 12:24
@Bond999
downloade Hijackthis
http://www.trojaner-board.de/51130-a...ijackthis.html
mache ein scan, poste hier das ergebnis
chaosman

Bond999 18.10.2004 12:42
Logfile of HijackThis v1.98.2
Scan saved at 13:42:55, on 18.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\Launcher.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programme\NetMeeting\conf.exe
D:\WWW File Share Pro\WWWFileSharePro.exe
C:\Programme\22M WLAN\WLANMON.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
C:\Programme\IRCplus 2000\IRCplus.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
C:\Programme\Palm\HOTSYNC.EXE
D:\Teamspeak2 Server\server_windows.exe
C:\Dokumente und Einstellungen\Computer 1\Desktop\Thomas\DEENES\DEENES\DeeEnEs.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~2\NORTON~3\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\PROGRA~1\NORTON~2\NORTON~3\SPEEDD~1\NOPDB.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Outlook Express\msimn.exe
D:\Programme\ICQLite\ICQLite.exe
D:\WWW File Share Pro2\WWWFileSharePro.exe
D:\apachefriends\xampp\mysql\bin\mysqld.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\COMPUT~1\LOKALE~1\Temp\Rar$EX00.500\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://zond.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://zond.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://zond.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://zond.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://zond.directwebsearch.net/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://find777.com/sp.html
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PrimaLauncher] C:\WINDOWS\system32\Launcher.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [d3rr.exe] C:\WINDOWS\d3rr.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\RunOnce: [!CleanupNetMeetingDispDriver] "C:\WINDOWS\system32\rundll32.exe" msconf.dll,CleanupNetMeetingDispDriver 0
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [Microsoft NetMeeting] "C:\Programme\NetMeeting\conf.exe" -Background
O4 - HKCU\..\Run: [DeeEnEs] C:\Dokumente und Einstellungen\Computer 1\Desktop\Thomas\DEENES\DEENES\DeeEnEs.exe
O4 - HKCU\..\Run: [WWW File Share Pro] D:\WWW File Share Pro\WWWFileSharePro.exe /1
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Startup: TeamSpeak 2 Server.lnk = D:\Teamspeak2 Server\server_windows.exe
O4 - Startup: Verknüpfung mit DeeEnEs.lnk = C:\Dokumente und Einstellungen\Computer 1\Desktop\Thomas\DEENES\DEENES\DeeEnEs.exe
O4 - Global Startup: 22M WLAN-Adapter-Utility.lnk = ?
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\4.bin\MWSOEMON.EXE
O4 - Global Startup: Norton GoBack.lnk = C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: concept/design's onlineTV - {3F0F4FF4-DF46-463C-BB3F-BE4C519B0527} - D:\onlineTV\onlineTV.exe
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABFA7B17-2F82-41A2-8F87-306C815702F2}: NameServer = 192.168.1.1

Bond999

chaosman 18.10.2004 17:43
@Bond999
wechsle in den abgesicherte modus und fixe
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://zond.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://zond.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://zond.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://zond.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://zond.directwebsearch.net/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://find777.com/sp.html
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [PrimaLauncher] C:\WINDOWS\system32\Launcher.exe
O4 - HKLM\..\Run: [d3rr.exe] C:\WINDOWS\d3rr.exe
O4 - HKCU\..\Run: [DeeEnEs] C:\Dokumente und Einstellungen\Computer 1\Desktop\Thomas\DEENES\DEENES\DeeEnEs.exe
O4 - Startup: TeamSpeak 2 Server.lnk = D:\Teamspeak2 Server\server_windows.exe

lösche manuell:
D:\Teamspeak2 Server\server_windows.exe
C:\WINDOWS\d3rr.exe
C:\WINDOWS\system32\Launcher.exe
starte neu, lade dir escan
http://www.mwti.net/antivirus/free_utilities.asp
lese den anleitung
http://www.trojaner-board.de/showthread.php?t=8131
und führe es genauso durch
mache dann ein neuen scan HJT, hier posten
ich rate dir dein surfverhalten zu ändern,dass sind wahrscheinlich deine malwareschleuder
D:\WWW File Share Pro\WWWFileSharePro.exe
C:\Programme\IRCplus 2000\IRCplus.exe
D:\Programme\ICQLite\ICQLite.exe
chaosman

Shadowdance 20.10.2004 04:18
@ Bond999,

wenn Du Dein System noch nicht laut Anweisung von chaosman gefixed hast, habe ich eine Bitte an Dich:

Downloade bitte zunächst Spybot-Search & Destroy 1.3, lade Dir dann die spybotsd131tx.exe runter und kopiere sie in das bestehende Spybot-Verzeichnis. Scanne damit Deinen Rechner, lass bestehende Probleme beheben. Erstelle dann einen Spybot-Report und sende ihn an detections@spybot.info mit Verweis auf diesen Thread und unter dem Betreff "Directwebsearch-TBOARD" - zu Forschungszwecken. -> Danke!

SD

Bond999 20.10.2004 12:07
Zitat:
wenn Du Dein System noch nicht laut Anweisung von chaosman gefixed hast, habe ich eine Bitte an Dich:
Ne habe ich noch nicht.
Ich weiß garnicht ob ich Spybot habe?!?





Zitat:
lösche manuell:
D:\Teamspeak2 Server\server_windows.exe
C:\WINDOWS\d3rr.exe
C:\WINDOWS\system32\Launcher.exe
starte neu, lade dir escan
http://www.mwti.net/antivirus/free_utilities.asp
lese den anleitung
http://www.trojaner-board.de/showthread.php?t=8131
und führe es genauso durch
mache dann ein neuen scan HJT, hier posten
ich rate dir dein surfverhalten zu ändern,dass sind wahrscheinlich deine malwareschleuder
D:\WWW File Share Pro\WWWFileSharePro.exe
C:\Programme\IRCplus 2000\IRCplus.exe
D:\Programme\ICQLite\ICQLite.exe
chaosman

Wieso muss ich D:\Teamspeak2 Server\server_windows.exe löschen???
Diese Datei brauche ich damit mein Teamspeak Server läuft. Oder wird der dannach auch noch laufen?!?

Shadowdance 21.10.2004 04:00
Hallo Bond999,

überprüfe mit dem online-scan von Kaspersky:

C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iw ctrl.exe
C:\Programme\NetMeeting\conf.exe
D:\WWW File Share Pro\WWWFileSharePro.exe
C:\Programme\IRCplus 2000\IRCplus.exe
D:\Teamspeak2 Server\server_windows.exe
D:\WWW File Share Pro2\WWWFileSharePro.exe
C:\WINDOWS\system32\Launcher.exe
C:\WINDOWS\d3rr.exe
C:\Dokumente und Einstellungen\Computer 1\Desktop\Thomas\DEENES\DEENES\DeeEnEs.exe
D:\Teamspeak2 Server\server_windows.exe
C:\WINDOWS\system32\rundll32.exe

Teile uns das Ergebnis der Überprüfung mit. Sende diese Dateien, wenn sie infiziert sind, an partytime-germany.ice@web.de, mit Verweis auf diesen Thread. (Forschungszweck)

====>weiter<====

Wie ich sah, hast Du Spybot Search und Control noch nicht auf dem Rechner. Downloade also bitte zunächst Spybot-S&D1.3, lade dann die spybotsd131tx.exe runter und kopiere sie in das bestehende Spybot-Verzeichnis, siehe Anleitung: Spybot-Forschung. Scanne damit Deinen Rechner und lass bestehende Probleme damit beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info mit Verweis auf diesen Thread und unter dem Betreff "directwebsearch-TBOARD" - zu Forschungszwecken. -> Dankeschön!

====>weiter<====

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, fixe dann mit Hijack This:

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = ht*p://zond.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = ht*p://zond.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = ht*p://zond.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht*p://zond.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kbgio.dll/sp.html#29126

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = ht*p://zond.directwebsearch.net/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = ht*p://find777.com/sp.html
R3 - Default URLSearchHook is missing

O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\4.bin\MWSOEMON.EXE
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE

====>weiter<====

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren

Beende:

MWSOEMON.EXE
DAP.EXE

Lösche:

C:\Programme\MyWebSearch\bar\4.bin\MWSOEMON.EXE
C:\PROGRA~1\DAP\DAP.EXE

Boote in den normalen Modus.Aktiviere die Systemwiederherstellung.

====>weiter<====

Lade das Clear Prog runter, leere damit die Ordner TEMP, Temorary Internet Files, Cookies und den Verlauf.

====>weiter<====

Lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

Erstelle ein neues Hijack This Logfile und poste es.

SD

Bond999 23.10.2004 19:17
Habe ich gemacht!
Zitat:
C:\WINDOWS\d3rr.exe
Das hat eine Infektion!!! :mad:

Lidius 23.10.2004 19:21
Und mit was ist die datei infiziert? (also welche meldung gibt der scan zu der datei)

Bond999 23.10.2004 19:39
Zu überprüfende Datei: d3rr.exe
d3rr.exe - packed with UPX
d3rr.exe Infiziert: TrojanDownloader.Win32.Agent.bc

Statistiken:
Bekannte Viren: 102099 Updated: 23-10-2004
Größe der Datei (Kb): 19 Viren-Korpus: 1
Datei: 2 Warnungen: 0
Archive: 0 Verdächtigt: 0


Meinste das?

Lidius 23.10.2004 19:49
Genau,

Dann sende diese Datei an die von Shadowdance angegebene Email adresse und lösche diese datei dann im abgesicherten modus bei abgeschalteter systemwiederherstellung (wird alles im posting von shadowdance erklärt wie das geht).

Befolge dann weiter die anweisungen von shadowdance

Bond999 23.10.2004 21:47
Zitat:
Wie ich sah, hast Du Spybot Search und Control noch nicht auf dem Rechner. Downloade also bitte zunächst Spybot-S&D1.3, lade dann die spybotsd131tx.exe runter und kopiere sie in das bestehende Spybot-Verzeichnis, siehe Anleitung: Spybot-Forschung. Scanne damit Deinen Rechner und lass bestehende Probleme damit beheben.
Zitat:
Erstelle einen Spybot-Report und sende ihn an detections@spybot.info
mit Verweis auf diesen Thread und unter dem Betreff "directwebsearch-TBOARD" - zu Forschungszwecken. -> Dankeschön!
Wie kann ich den spybot report erstellen???

Lidius 23.10.2004 21:50
Spybot scannen lassen, danach in das fenster wo die ergebnisse stehen rechtsklicken und den report speichern.

Bond999 23.10.2004 21:51
Ok ich mache das dann jetzt nochmal bleibst du on??? Meine ICQ nr. *******
wenn du willst melde dich!

Bond999 23.10.2004 21:58
Ich kann den nicht hier rein posten!!! Zu lang!!!
:heulen:
Was soll ich jetzt machen?

Lidius 23.10.2004 22:01
du sollst den spybot report doch auch nicht hier reinstellen, du sollst ihn an detections@spybot.info mit Verweis auf diesen Thread und unter dem Betreff "directwebsearch-TBOARD" senden.

Lidius 23.10.2004 22:07
Und jetzt lies bitte was ich oben bzw. unten (je nach tread ansicht) auf deine Frage geantwortet habe :D

Bond999 23.10.2004 22:11
Wieso muss ich das an der Adresse schicken??? Wozu???

Lidius 23.10.2004 22:15
Damit Spybot in Zukunft dieses Problem mit directwebsearch beheben kann

Du kannst deine Postings löschen indem du bei den postings auf Editieren klickst und dann auf löschen.

Arbeite danach weiter die Anweisungen von Shadowdance ab.

Bond999 23.10.2004 22:15
Zitat:
Zitat von Lidius
du sollst den spybot report doch auch nicht hier reinstellen, du sollst ihn an detections@spybot.info mit Verweis auf diesen Thread und unter dem Betreff "directwebsearch-TBOARD" senden.
jo entschuldigung mein fehler habe es wieder gelöscht!

Bond999 23.10.2004 22:16
Zitat:
Zitat von Lidius
Damit Spybot in Zukunft dieses Problem mit directwebsearch beheben kann

Du kannst deine Postings löschen indem du bei den postings auf Editieren klickst und dann auf löschen.

Arbeite danach weiter die Anweisungen von Shadowdance ab.
Ok werde ich machen hast du vileicht ICQ?

Lidius 23.10.2004 22:17
Ja, aber du schaffst das auch alleine, einfach ruhig dabei bleiben und wenn was unklar ist, hier fragen, dann wird das schon.

Bond999 23.10.2004 22:34
Ich werde das erst morgen machen aber sprich mich mal bitte an. (ICQ)
Danke

Bond999 30.10.2004 14:22
Zitat:
Zitat von Shadowdance
Hallo Bond999,

überprüfe mit dem online-scan von Kaspersky:

C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iw ctrl.exe
C:\Programme\NetMeeting\conf.exe
D:\WWW File Share Pro\WWWFileSharePro.exe
C:\Programme\IRCplus 2000\IRCplus.exe
D:\Teamspeak2 Server\server_windows.exe
D:\WWW File Share Pro2\WWWFileSharePro.exe
C:\WINDOWS\system32\Launcher.exe
C:\WINDOWS\d3rr.exe
C:\Dokumente und Einstellungen\Computer 1\Desktop\Thomas\DEENES\DEENES\DeeEnEs.exe
D:\Teamspeak2 Server\server_windows.exe
C:\WINDOWS\system32\rundll32.exe

Teile uns das Ergebnis der Überprüfung mit. Sende diese Dateien, wenn sie infiziert sind, an partytime-germany.ice@web.de, mit Verweis auf diesen Thread. (Forschungszweck)

====>weiter<====

Wie ich sah, hast Du Spybot Search und Control noch nicht auf dem Rechner. Downloade also bitte zunächst Spybot-S&D1.3, lade dann die spybotsd131tx.exe runter und kopiere sie in das bestehende Spybot-Verzeichnis, siehe Anleitung: Spybot-Forschung. Scanne damit Deinen Rechner und lass bestehende Probleme damit beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info mit Verweis auf diesen Thread und unter dem Betreff "directwebsearch-TBOARD" - zu Forschungszwecken. -> Dankeschön!

====>weiter<====

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, fixe dann mit Hijack This:

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = ht*p://zond.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = ht*p://zond.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = ht*p://zond.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht*p://zond.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kbgio.dll/sp.html#29126

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = ht*p://zond.directwebsearch.net/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\kbgio.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = ht*p://find777.com/sp.html
R3 - Default URLSearchHook is missing

O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\4.bin\MWSOEMON.EXE
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE

====>weiter<====

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren

Beende:

MWSOEMON.EXE
DAP.EXE

Lösche:

C:\Programme\MyWebSearch\bar\4.bin\MWSOEMON.EXE
C:\PROGRA~1\DAP\DAP.EXE

Boote in den normalen Modus.Aktiviere die Systemwiederherstellung.

====>weiter<====

Lade das Clear Prog runter, leere damit die Ordner TEMP, Temorary Internet Files, Cookies und den Verlauf.

====>weiter<====

Lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

Erstelle ein neues Hijack This Logfile und poste es.

SD

Habe ich gemacht!!!


EDIT:Hier ist das Hijack This Logfile
Hijack This Log



Zitat:
Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "[i]öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
Wie meinst du das? Kannst du mir das erklären wie ich das machen soll? Am besten wäre es wenn du einen Schritt für Schritt erklärung hier rein Postest.

*Christian* 30.10.2004 16:44
Der Link ist "ungültig".

Sie hat doch schon alles Schritt für Schritt erklärt:

Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!

Bond999 30.10.2004 19:14
Ist das normal das mein PC jetzt auf einmal voll ausgelastet ist?
der Prozess "system" verbraucht sehr viel. warum?
Liegt das am Virus?
Bond999

PS: Der Link Hijack This Log

MountainKing 30.10.2004 20:41
Hast du schon die Einträge, die SD aufgezählt hat, gefixed?

Bitte kopiere den Inhalt hierher, wie bei den anderen Logs, nicht per angehängter Datei, das ist unübersichtlicher.

Bond999 30.10.2004 20:47
Ja hab ich.



Logfile of HijackThis v1.98.2
Scan saved at 13:12:07, on 30.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\Launcher.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\PhilipsRemote.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programme\NetMeeting\conf.exe
C:\Dokumente und Einstellungen\Computer 1\Desktop\Thomas\DEENES\DEENES\DeeEnEs.exe
D:\WWW File Share Pro\WWWFileSharePro.exe
C:\Programme\22M WLAN\WLANMON.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
C:\Programme\Palm\HOTSYNC.EXE
D:\Teamspeak2 Server\server_windows.exe
C:\PROGRA~1\MUSICM~1\MUSICM~1\MM_DIR~1.EXE
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
C:\Programme\IRCplus 2000\IRCplus.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~2\NORTON~3\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\PROGRA~1\NORTON~2\NORTON~3\SPEEDD~1\NOPDB.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
D:\WWW File Share Pro2\WWWFileSharePro.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Messenger\msmsgs.exe
C:\DOKUME~1\COMPUT~1\LOKALE~1\Temp\Rar$EX00.687\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PrimaLauncher] C:\WINDOWS\system32\Launcher.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [PhilipsRemote] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\PhilipsRemote.exe
O4 - HKLM\..\RunOnce: [!CleanupNetMeetingDispDriver] "C:\WINDOWS\system32\rundll32.exe" msconf.dll,CleanupNetMeetingDispDriver 0
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [Microsoft NetMeeting] "C:\Programme\NetMeeting\conf.exe" -Background
O4 - HKCU\..\Run: [DeeEnEs] C:\Dokumente und Einstellungen\Computer 1\Desktop\Thomas\DEENES\DEENES\DeeEnEs.exe
O4 - HKCU\..\Run: [WWW File Share Pro] D:\WWW File Share Pro\WWWFileSharePro.exe /1
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Startup: TeamSpeak 2 Server.lnk = D:\Teamspeak2 Server\server_windows.exe
O4 - Startup: Verknüpfung mit DeeEnEs.lnk = C:\Dokumente und Einstellungen\Computer 1\Desktop\Thomas\DEENES\DEENES\DeeEnEs.exe
O4 - Global Startup: 22M WLAN-Adapter-Utility.lnk = ?
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Norton GoBack.lnk = C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: concept/design's onlineTV - {3F0F4FF4-DF46-463C-BB3F-BE4C519B0527} - D:\onlineTV\onlineTV.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://webcam1.luedenscheid.de/activ...CamControl.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89F342D7-65E5-4D8A-A197-E7F873DEB53D}: NameServer = 205.188.146.146
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABFA7B17-2F82-41A2-8F87-306C815702F2}: NameServer = 192.168.1.1

MountainKing 30.10.2004 21:08
Hast du E-Scan wie beschrieben verwendet? Was hat es gefunden?

Bond999 30.10.2004 21:16
Es hat folgene Sachen gefunden:
C:\WINDOWS\adduw.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: File Deleted

C:\WINDOWS\apiho32.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: File Deleted.

C:\WINDOWS\appgh.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: File Deleted.

C:\WINDOWS\bgdzz.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: File Deleted.

C:\WINDOWS\hhnhz.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: File Deleted

File C:\WINDOWS\iegg.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: File Deleted

File C:\WINDOWS\iegg.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: File Deleted.

File C:\WINDOWS\ntju.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: File Deleted.

ich bin erst bei der Seite 19 von 4431 soll ich das wirklich machen oder meintest du das nicht?

Aber was mir wichtiger ist, ist warum mein PC arschlangsam ist?
Der Prozess "System" verbraucht SEHR VIEL ca. 70-100 egal was ich mache.
Brauche dringend HILFE!!!

MountainKing 30.10.2004 21:22
Wieviele Viren wurden denn insgesamt gefunden, was steht im Bericht? Du hast offenbar noch eine ältere Version von E-Scan, der die Dateien noch löscht, das ist gut.

Bond999 30.10.2004 21:22
Wo steht das???

MountainKing 30.10.2004 21:31
Ganz am Schluss des Logfiles.

Bond999 30.10.2004 21:34
Sat Oct 30 12:44:03 2004 => ***** Scanning complete. *****

Sat Oct 30 12:44:03 2004 => Total Number of Files Scanned: 17325
Sat Oct 30 12:44:04 2004 => Total Number of Virus(es) Found: 4
Sat Oct 30 12:44:04 2004 => Total Number of Disinfected Files: 0
Sat Oct 30 12:44:04 2004 => Total Number of Files Renamed: 0
Sat Oct 30 12:44:04 2004 => Total Number of Deleted Files: 1
Sat Oct 30 12:44:04 2004 => Total Number of Errors: 1
Sat Oct 30 12:44:04 2004 => Time Elapsed: 00:30:57
Sat Oct 30 12:44:04 2004 => Virus Database Date: 2004/09/29
Sat Oct 30 12:44:05 2004 => Virus Database Count: 104521

Sat Oct 30 12:44:05 2004 => Scan Completed.

Lidius 30.10.2004 21:48
Irgendwas passt da aber nicht zusammen:
Zitat:
Es hat folgene Sachen gefunden:
C:\WINDOWS\adduw.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: File Deleted

C:\WINDOWS\apiho32.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: File Deleted.

C:\WINDOWS\appgh.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: File Deleted.

C:\WINDOWS\bgdzz.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: File Deleted.

C:\WINDOWS\hhnhz.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: File Deleted

File C:\WINDOWS\iegg.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: File Deleted

File C:\WINDOWS\iegg.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: File Deleted.

File C:\WINDOWS\ntju.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: File Deleted.
Zitat:
Sat Oct 30 12:44:03 2004 => ***** Scanning complete. *****
Sat Oct 30 12:44:03 2004 => ***** Scanning complete. *****

Sat Oct 30 12:44:03 2004 => Total Number of Files Scanned: 17325
Sat Oct 30 12:44:04 2004 => Total Number of Virus(es) Found: 4
Sat Oct 30 12:44:04 2004 => Total Number of Disinfected Files: 0
Sat Oct 30 12:44:04 2004 => Total Number of Files Renamed: 0
Sat Oct 30 12:44:04 2004 => Total Number of Deleted Files: 1
Sat Oct 30 12:44:04 2004 => Total Number of Errors: 1
Sat Oct 30 12:44:04 2004 => Time Elapsed: 00:30:57
Sat Oct 30 12:44:04 2004 => Virus Database Date: 2004/09/29
Sat Oct 30 12:44:05 2004 => Virus Database Count: 104521

Sat Oct 30 12:44:05 2004 => Scan Completed.
Im ersten ausschnitt werden 8 Files gelöscht, in der zusammenfassung steht aber nur von einem. Ist das beides aus einem scan?

MountainKing 30.10.2004 21:53
Ich denke, der Auszug war vom ersten Scan, die Dateien wurden ja geslöscht und jetzt ist es ein zweiter. Nützt uns nun leider nicht mehr sehr viel. :/

Bond999 30.10.2004 21:58
Ich gucke nach ein mom bitte

Bond999 30.10.2004 22:00
Ihr habt recht ich wusste nicht das er alle Log's in einer Datei speichert.
Das letzte ist das letzt scan was ich gemacht habe.
Was soll ich jetzt machen?


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:46 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55