|
TR/Drop.Delf.DJ.4 oder TR/LowZones.A.2 oder WEBREBATES0.EXE Problem Aloa, irgendwie habe ich mír gestern was eingefangen :koch: Also seit gestern bekomme ich von AntiVir immer ne Meldung ich habe ein trojaner drauf im C:\Temp\(paar unterschiedliche Namen). Okay gestern habe ich es entfernt mit den Antivir und heute gegen 22:00 Uhr fing dann das Desaster von vorne an. Habe mich dann einbissel rumgewüllt und folgendes gemacht: habe ich mir das neuste update von AntiVir geholt und der hat mir was gefasselt unter C:\PROGRAMME\WEB_REBATES\WEBREBATES0.EXE ist ein Trojaner... und die Datei sollte eigentlich gelöscht werden.. ...so dann das neue Sicherheitsupdate von Mirosoft geholt. ...da ich nicht sicher war ob Antivir das Programm gelöscht hat, bin ich auf den Pfad gegangen und siehe da,da war es wieder und habe den Ordner per Hand gelöscht C:\PROGRAMME\WEB_REBATES\ und den Ordner C:/Temp gelöscht im msconfig folgendes deaktiviert : Webrates0 C:\PROGRAMME\WEB_REBATES\WEBREBATES0.EXE ...mit clearProg alles gelöscht von den ganzen Temporary Internet Files... so und nun habe ich dieses HijackThis Programm geholt.... ... nu zu meiner Frage... ...habe ich das Mistvieh erwischt :sword2: oder nicht und da ich mit diesem HijackThis Progranmm nicht auskenne,frage ich mal in die Runde ob da einer noch was sieht oder was ich noch machen muss :confused: Habe nämlich keinen Bock mehr :koch: Danke Sandro :D Logfile of HijackThis v1.98.2 Scan saved at 00:05:24, on 27.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Mixer.exe C:\WINDOWS\System32\rundll32.exe C:\Program Files\Win Comm\WinComm.exe C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\ezula\mmod.exe C:\Programme\AIM95\aim.exe C:\WINDOWS\System32\wmerrdeu.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\alle\Desktop\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [eZmmod] C:\PROGRA~1\ezula\mmod.exe O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl O4 - HKCU\..\Run: [wmerrdeu] C:\WINDOWS\System32\wmerrdeu.exe O4 - Startup: PowerReg Scheduler V3.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - D:\Programme\Preispiraten 2.0b\preispiraten2.exe O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://xxxtgp.ath.cx/loud.chm::/bridge-c32.cab O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - ms-its:mhtml:file://C:\ss.MHT!http://toolbar.isearch.com/install/0...es/initial.cab O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O17 - HKLM\System\CCS\Services\Tcpip\..\{2199E7CD-30D2-41B7-AB1A-E62B252236DB}: NameServer = 145.253.2.203 145.253.2.81 |
Guten Morgen, SKnaps arbeite bitte zuerst das Tutorial der Spybot-Forschung Punkt für Punkt durch, überprüfe den Rechner mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info, mit dem Betreff "isearch.com-TBOARD" und Hinweis auf diesen Thread. (Nicht im Forum posten, da zwecklos!) ===>2<=== Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com ===>3<=== Lade (falls nötig) das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf. ===>4<=== Downloade das Programm SpywareBlaster 3.2 und führe es auf dem/den Rechner(n) aus. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit täglich - bevor Du ins Netz gehst - den Schutz für den/die Browser. Tägliches Updaten online nicht vergessen! ===>5<=== Downloade bitte entweder LSP-Fix oder WinsockFix. LSP-Fix oder WinsockFix wirst Du brauchen, wenn Du Einträge von 'NewDotNet' und 'Hijacked Internet access by New.Net' löscht. Es kann sein, dass Du dann Probleme hast, ins Netz zu kommen. Mit einem dieser Programme kannst Du diese Probleme beheben. Die zu löschenden Einträge korrumpieren die Winsock dlls, die Windows benötigt um eine Internetverbindung aufzubauen. Um die originalen Dateien wiederherzustellen WinsockFix oder LSPFix herunterladen, die Internetverbindung trennen und eines der Programme ausführen. Den Rechner neu booten. ===>6<=== überprüfe mit dem online-scan von Kaspersky: C:\Program Files\Win Comm\WinComm.exe C:\PROGRA~1\ezula\mmod.exe C:\WINDOWS\System32\wmerrdeu.exe C:\Programme\AIM95\aim.exe -cnetwait.odl Teile uns das Ergebnis der Überprüfung mit. Sende die infizierten Dateien passwortgeschützt an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck). ===>7<=== Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häkchen setzen und fix checked klicken): O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s O4 - HKCU\..\Run: [eZmmod] C:\PROGRA~1\ezula\mmod.exe O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://xxxtgp.ath.cx/loud.chm::/bridge-c32.cab O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - ms-its:mhtml:file://C:\ss.MHT!http://toolbar.isearch.com/install/...les/initial.cab O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - Boote in den normalen Modus. Beende: mmod.exe Lösche: C:\PROGRA~1\ezula\mmod.exe Aktiviere die Systemwiederherstellung. ===>8<=== Mit LSP-Fix oder WinsockFix löschen: C:\Programme\NewDotNet\newdotnet6_38.dll C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net ===>9<=== Geh bitte auf diese Seite: eScan. Scanne damit Deinen Rechner, entsprechend der dort gegebenen Anweisung! Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht mehr automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden, siehe eScan: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!" ===>10<=== Lass uns das Ergebnis der Online-Scan-Überprüfung und des Scans mit eScan wissen. (Vergiss nicht die Daten/Spybot-Report abzusenden.) Erstelle ein neues Logfile mit Hijack This aus dem normalen Modus und poste es. SD |
Zu überprüfende Datei: WinComm.exe WinComm.exe - packed with UPX WinComm.exe Ok Statistiken: Bekannte Viren: 102398 Updated: 27-10-2004 Größe der Datei (Kb): 25 Viren-Korpus: 0 Datei: 2 Warnungen: 0 Archive: 0 Verdächtigt: 0 Zu überprüfende Datei: mmod.exe mmod.exe Ok Statistiken: Bekannte Viren: 102398 Updated: 27-10-2004 Größe der Datei (Kb): 180 Viren-Korpus: 0 Datei: 1 Warnungen: 0 Archive: 0 Verdächtigt: 0 Zu überprüfende Datei: wmerrdeu.exe wmerrdeu.exe Infiziert: TrojanDownloader.Win32.Agent.am Statistiken: Bekannte Viren: 102398 Updated: 27-10-2004 Größe der Datei (Kb): 54 Viren-Korpus: 1 Datei: 1 Warnungen: 0 Archive: 0 Verdächtigt: 0 bekomme wmerrdeu.exe nicht per Hand gelöscht zu 8) wie soll das gehen?? beim LSP-Fix stehen die Dateien nicht :confused: zu 9) Wed Oct 27 11:19:46 2004 => File C:\WINDOWS\System32\wmerrdeu.exe infected by "TrojanDownloader.Win32.Agent.am" Virus. Action Taken: No Action Taken. Wed Oct 27 11:19:48 2004 => File C:\WINDOWS\System32\wmerrdeu.exe infected by "TrojanDownloader.Win32.Agent.am" Virus. Action Taken: No Action Taken. Wed Oct 27 11:21:36 2004 => File C:\WINDOWS\System32\wmerrdeu.exe infected by "TrojanDownloader.Win32.Agent.am" Virus. Action Taken: No Action Taken. zu 10) Logfile of HijackThis v1.98.2 Scan saved at 11:24:48, on 27.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Mixer.exe C:\Program Files\Win Comm\WinComm.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AIM95\aim.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wmerrdeu.exe C:\Dokumente und Einstellungen\alle\Desktop\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\ServicePackFiles\i386\msconfig.exe /auto O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl O4 - HKCU\..\Run: [wmerrdeu] C:\WINDOWS\System32\wmerrdeu.exe O4 - Startup: PowerReg Scheduler V3.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - D:\Programme\Preispiraten 2.0b\preispiraten2.exe O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O17 - HKLM\System\CCS\Services\Tcpip\..\{2199E7CD-30D2-41B7-AB1A-E62B252236DB}: NameServer = 145.253.2.203 145.253.2.81 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:51 Uhr. |
Copyright ©2000-2024, Trojaner-Board