|
TR\Drop.180Solut.A hallo zusammen! hab mir den oben genannten trojaner eingefangen. antivir erkennt und blockt ihn. wenn ich ihn damit nun lösche ist er kurze zeit später wieder da. also steckt da wohl was in der registry nehm ich an. hab mal gegoogelt und hier so durchgeschaut aber irgendwie nichts passendes gefunden. mit diesem HJT kenne ich mich leider überhaupt nicht aus. wäre super nett wenn mir mal jemand eine für laien verständliche version posten könnte. schon mal danke im vorraus. euer board ist wirklich klasse! |
Hallo rtfm, es gibt schon einige Threads zum Thema 180 Solutions. Aber bitte, erstelle ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html. Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch HijackThis. Wir schauen dann, ob und wie wir Dir helfen können. |
danke erstmal für die schnelle hilfe. wegen den sex-seiten einträgen darf ich mich wohl bei meinem neffen bedanken.hier nun das hjt-logfile: Logfile of HijackThis v1.99.0 Scan saved at 11:40:50, on 12.01.2005 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe D:\AntiVir\AVGUARD.EXE D:\AntiVir\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\SYSTEM32\GEARSEC.EXE C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\ZoneLabs\minilog.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe D:\DSL Treiber\cFos5.04\cfos\cFosDNT.exe D:\Winamp\Winampa.exe D:\Logitech\iTouch\iTouch.exe C:\Program Files\Windows ServeAd\WinServAd.exe D:\AntiVir\AVGNT.EXE C:\Program Files\Windows ServeAd\WinServSuit.exe D:\FreeRAM\FreeRAM XP Pro 1.40.exe C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe C:\HJT\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=96676 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=96676 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com O1 - Hosts: 127.0.0.3 x.full-tgp.net O1 - Hosts: 127.0.0.3 counter.sexmaniack.com O1 - Hosts: 127.0.0.3 autoescrowpay.com O1 - Hosts: 127.0.0.3 www.autoescrowpay.com O1 - Hosts: 127.0.0.3 www.awmdabest.com O1 - Hosts: 127.0.0.3 www.sexfiles.nu O1 - Hosts: 127.0.0.3 awmdabest.com O1 - Hosts: 127.0.0.3 sexfiles.nu O1 - Hosts: 127.0.0.3 allforadult.com O1 - Hosts: 127.0.0.3 www.allforadult.com O1 - Hosts: 127.0.0.3 www.iframe.biz O1 - Hosts: 127.0.0.3 iframe.biz O1 - Hosts: 127.0.0.3 www.newiframe.biz O1 - Hosts: 127.0.0.3 newiframe.biz O1 - Hosts: 127.0.0.3 www.vesbiz.biz O1 - Hosts: 127.0.0.3 vesbiz.biz O1 - Hosts: 127.0.0.3 www.pizdato.biz O1 - Hosts: 127.0.0.3 pizdato.biz O1 - Hosts: 127.0.0.3 www.aaasexypics.com O1 - Hosts: 127.0.0.3 aaasexypics.com O1 - Hosts: 127.0.0.3 www.virgin-tgp.net O1 - Hosts: 127.0.0.3 virgin-tgp.net O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINNT\System32\IETie.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [QuickTime Task] "D:\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [OnSig] F:\eMule\OnlineSig\online.exe O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot O4 - HKLM\..\Run: [cFosDNT] D:\DSL Treiber\cFos5.04\cfos\cFosDNT.exe O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\TrojanerCheck\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [zBrowser Launcher] D:\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [AVGCtrl] D:\AntiVir\AVGNT.EXE /min O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe O4 - HKCU\..\Run: [windll32.exe] C:\WINNT\system32\windll32.exe O4 - HKCU\..\Run: [FreeRAM XP] "D:\FreeRAM\FreeRAM XP Pro 1.40.exe" -win O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O8 - Extra context menu item: &Download with &DAP - D:\DAP5~1.3\dapextie.htm O8 - Extra context menu item: Download &all with DAP - D:\DAP5~1.3\dapextie2.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/ O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://hitcounter.ath.cx/loud.chm::/bridge-c18.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\AntiVir\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\AntiVir\AVWUPSRV.EXE O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing) O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\SYSTEM32\GEARSEC.EXE O23 - Service: TrueVector Basic Logging Client - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\minilog.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe O23 - Service: O&O Defrag 2000 - O&O Software GmbH - C:\WINNT\system32\OOD2000.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe |
@ rtfm es kann sein, dass Du den W32/Spybot.worm.gen.b auf dem System hast. Erstelle zunächst einen neuen Ordner "bases" auf der Festplatte C: (c:\bases). Lade den eScan runter und beachte die Anleitung in diesem Link sehr genau. Update den eScan online und führe ihn offline im abgesicherten Modus aus. Der eScan ab Version 4.5.1 löscht gefundene Malware nicht. Teile uns das Ergebnis des eScan mit: öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) und gib dies mit an: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: ***** Scanning complete. ***** |
also hier die scanergebnisse die mich sehr erschüttern: Wed Jan 12 14:16:33 2005 => Total Files Scanned: 33736 Wed Jan 12 14:16:33 2005 => Total Virus(es) Found: 28 Wed Jan 12 14:16:33 2005 => Total Disinfected Files: 0 Wed Jan 12 14:16:33 2005 => Total Files Renamed: 0 Wed Jan 12 14:16:34 2005 => Total Deleted Files: 0 Wed Jan 12 14:16:34 2005 => Total Errors: 36 Wed Jan 12 14:16:34 2005 => Time Elapsed: 00:59:16 Wed Jan 12 14:16:34 2005 => Virus Database Date: 2005/01/12 Wed Jan 12 14:16:34 2005 => Virus Database Count: 115286 Wed Jan 12 14:16:34 2005 => Scan Completed. File C:\PROGRA~2\WINDOW~1\WINSER~2.EXE infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. File C:\WINNT\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken. File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\8XMBSHY7\loud[1].chm infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\GL2NSPUN\loud[1].chm infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\SHIVK12B\loud[1].chm infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. File C:\34FE0DA1.tmp.trojaner infected by "TrojanDownloader.Win32.Small.yx" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XMBSHY7\loud[1].chm infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GL2NSPUN\loud[1].chm infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SHIVK12B\loud[1].chm infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. File C:\HJT\hijackthis.log infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. File C:\Program Files\Win Comm\WinDat.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. File C:\Program Files\Windows ServeAd\WinAtServ.dll infected by "not-a-virus:AdWare.WinAD.i" Virus. Action Taken: No Action Taken. File C:\Program Files\Windows ServeAd\WinServSuit.exe infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. File C:\RECYCLER\S-1-5-21-515967899-2147031159-725345543-500\Dc1\NCASEPACKAGE.EXE.001 infected by "Trojan-Dropper.Win32.180Solutions.a" Virus. Action Taken: No Action Taken. File C:\RECYCLER\S-1-5-21-515967899-2147031159-725345543-500\Dc1\NCASEPACKAGE.EXE.002 infected by "Trojan-Dropper.Win32.180Solutions.a" Virus. Action Taken: No Action Taken. File C:\RECYCLER\S-1-5-21-515967899-2147031159-725345543-500\Dc1\NCASEPACKAGE.EXE.003 infected by "Trojan-Dropper.Win32.180Solutions.a" Virus. Action Taken: No Action Taken. File C:\RECYCLER\S-1-5-21-515967899-2147031159-725345543-500\Dc1\NCASEPACKAGE.EXE.VIR infected by "Trojan-Dropper.Win32.180Solutions.a" Virus. Action Taken: No Action Taken. File C:\WINNT\Downloaded Program Files\load.exe infected by "TrojanDownloader.Win32.Harnig.ak" Virus. Action Taken: No Action Taken. File C:\WINNT\Downloaded Program Files\WinServAdX.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. File C:\WINNT\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\drivers\etc\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken. File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\<Dateiname entfernt>.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken. File D:\AntiVir\INFECTED\NCASEPACKAGE.EXE.VIR infected by "Trojan-Dropper.Win32.180Solutions.a" Virus. Action Taken: No Action Taken. File D:\<Dateiname entfernt>.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken. File D:\<Dateiname entfernt>.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. File E:\<Dateiname entfernt>.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken. ich hoffe damit kann man was anfangen! vielen dank im voraus für eure mühe! |
@rtfm Temporary Internet Files Leere diese Ordner: C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temp C:\WINDOWS\Downloaded Program Files C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temporary Internet Files du kannst auch cleanprog bei cleanprog.de downloaden programm starten, alle häkchen bei windows und IE setzen, löschen diese datei auf diskette sichern, zwecks beweismittel File D:\<Dateiname entfernt>.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. diese dateien nicht löschen File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\<Dateiname entfernt>.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken. File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File E:\<Dateiname entfernt>.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken. wechsle danach in den abgesicherten modus und lösche die andere dateien manuell, neu booten und ein neues HJT logfile hier posten chaosman |
@ rtfm ich freue mich, dass ich ausnahmsweise einmal keine Hiobsbotschaft überbringen muss. Der schlimmste Virus, den Du auf Deinem Rechner hast, ist zum Glück nur ein Trojaner, ohne Backdoor-Funktionalität: Troj/Qhosts1-A. Lade das Clear Prog runter, leere damit u.a. die Ordner (Du kannst bei "Clear all" das Häkchen setzen und dann auf "Clear" klicken): File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5 File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5 File C:\RECYCLER File D:\AntiVir\INFECTED --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre) diese Malware-Einträge bitte manuell löschen: --> Boote dazu in den VGA Modus. Dateien markieren/kopieren, in die Windows Suche übertragen -> löschen: C:\PROGRA~2\WINDOW~1\WINSER~2.EXE C:\WINNT\hosts C:\34FE0DA1.tmp.trojaner C:\HJT\hijackthis.log C:\Program Files\Win Comm\WinDat.dll C:\Program Files\Windows ServeAd\WinAtServ.dll C:\Program Files\Windows ServeAd\WinServSuit.exe C:\WINNT\Downloaded Program Files\load.exe C:\WINNT\Downloaded Program Files\WinServAdX.dll C:\WINNT\system32\drivers\etc\hosts Je nach Art der Verbindung, mit der Du ins Netz gehst, solltest Du diese Datei vor dem Löschen auf Diskette sichern (Dialer-Hinweis): D:\<Dateiname entfernt>.exe Nach dem löschen in den normalen Modus booten. Erstelle ein neues Hijack This Logfile und poste es. [edit] http://www.trojaner-board.de/images/smilies/party.gif @ Chaosman [/edit] |
danke schön für die antworten. hier das logfile und noch ein paar kleiner sachen unten dran... : Logfile of HijackThis v1.99.0 Scan saved at 19:25:54, on 12.01.2005 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe D:\AntiVir\AVGUARD.EXE D:\AntiVir\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\SYSTEM32\GEARSEC.EXE C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\OOD2000.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\ZoneLabs\minilog.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe D:\DSL Treiber\cFos5.04\cfos\cFosDNT.exe D:\Winamp\Winampa.exe D:\TrojanerCheck\Trojancheck 6\tcguard.exe D:\Logitech\iTouch\iTouch.exe D:\AntiVir\AVGNT.EXE C:\Program Files\Windows ServeAd\WinServAd.exe D:\FreeRAM\FreeRAM XP Pro 1.40.exe C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe C:\WINNT\system32\NOTEPAD.EXE C:\HJT\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=96676 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=96676 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [QuickTime Task] "D:\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot O4 - HKLM\..\Run: [cFosDNT] D:\DSL Treiber\cFos5.04\cfos\cFosDNT.exe O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\TrojanerCheck\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [zBrowser Launcher] D:\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [AVGCtrl] D:\AntiVir\AVGNT.EXE /min O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe O4 - HKCU\..\Run: [FreeRAM XP] "D:\FreeRAM\FreeRAM XP Pro 1.40.exe" -win O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O8 - Extra context menu item: &Download with &DAP - D:\DAP5~1.3\dapextie.htm O8 - Extra context menu item: Download &all with DAP - D:\DAP5~1.3\dapextie2.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/ O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://hitcounter.ath.cx/loud.chm::/bridge-c18.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\AntiVir\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\AntiVir\AVWUPSRV.EXE O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing) O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\SYSTEM32\GEARSEC.EXE O23 - Service: TrueVector Basic Logging Client - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\minilog.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe O23 - Service: O&O Defrag 2000 - O&O Software GmbH - C:\WINNT\system32\OOD2000.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe -------------- in C:\Program Files befindet sich noch ein ordner mit namen "Windows ServeAd" dieser enthält noch eine "info.txt" und eine "WinServAd.exe" C:\WINNT\Downloaded Program Files\load.exe konnte ich nicht finden. nur diese 2 hier: C:\WINNT\system32\dllcache\mwcload.exe C:\WINNT\system32\Macromed\Shockwave 8\Download.exe C:\PROGRA~2\WINDOW~1\WINSER~2.EXE finde ich auch nirgends. bitte sagt mir wie ich den rest auch noch loswerde. vielen dank schonmal im vorraus! |
@rtfm in C:\Program Files befindet sich noch ein ordner mit namen "Windows ServeAd" dieser enthält noch eine "info.txt" und eine "WinServAd.exe" in abgesicherten modus manuell löschen Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK danach noch mal die dateien suchen chaosman |
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK hab ich getan. er fand es trotzdem nicht! also ich weiss wo der ordner liegt. die frage ist nur ob ich ihn auch löschen soll/muß? was ist mit den anderen unten aufgeführten dateien? sieht das logfile nun zufriedenstellender aus? |
@rtfm wechsle in den abgesicherten modus und fixe mit HJT R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=96676 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=96676 O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe O8 - Extra context menu item: &Download with &DAP - D:\DAP5~1.3\dapextie.htm O8 - Extra context menu item: Download &all with DAP - D:\DAP5~1.3\dapextie2.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing) diese dateien manuell löschen C:\Program Files\Windows ServeAd\WinServAd.exe D:\DAP5~1.3\dapextie2.htm D:\DAP5~1.3\dapextie.htm der DAP download manager löschen, er holt dir spyware auf dem rechner nimm lieber den LeechGet C:\Program Files\Windows ServeAd\WinServAd.exe komplette ordner neu booten, poste danach ein neues HJT logfile chaosman |
so, hier ist nun mein aktuelles HJT-logfile: Logfile of HijackThis v1.99.0 Scan saved at 20:49:51, on 12.01.2005 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe D:\AntiVir\AVGUARD.EXE D:\AntiVir\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\SYSTEM32\GEARSEC.EXE C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\OOD2000.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\ZoneLabs\minilog.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe D:\DSL Treiber\cFos5.04\cfos\cFosDNT.exe D:\Winamp\Winampa.exe D:\TrojanerCheck\Trojancheck 6\tcguard.exe D:\Logitech\iTouch\iTouch.exe D:\AntiVir\AVGNT.EXE D:\FreeRAM\FreeRAM XP Pro 1.40.exe C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe C:\HJT\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [QuickTime Task] "D:\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot O4 - HKLM\..\Run: [cFosDNT] D:\DSL Treiber\cFos5.04\cfos\cFosDNT.exe O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\TrojanerCheck\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [zBrowser Launcher] D:\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [AVGCtrl] D:\AntiVir\AVGNT.EXE /min O4 - HKCU\..\Run: [FreeRAM XP] "D:\FreeRAM\FreeRAM XP Pro 1.40.exe" -win O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/ O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://hitcounter.ath.cx/loud.chm::/bridge-c18.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\AntiVir\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\AntiVir\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\SYSTEM32\GEARSEC.EXE O23 - Service: TrueVector Basic Logging Client - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\minilog.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe O23 - Service: O&O Defrag 2000 - O&O Software GmbH - C:\WINNT\system32\OOD2000.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe |
Zitat:
|
ich denke da kann ich dir weiterhelfen. es ist nicht der ordner progra~2 (nur abgekürzt) sondern program files. und da ist dann lass mich raten ein ordner namens windowsservead oder? den musst du löschen. |
ok, wenn es der war dann hab ich den gelöscht im abgesicherten modus bleibt nur die frage nach dem aktuellen hjt-log |
@ chris: Kurzes Einmischen: Würde mir das: O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot mal genauer ansehen. Hier zu TkBellExe. ;) cacatoa |
@ rtfm Platform: Windows 2000 SP3 (WinNT 5.00.2195)/MSIE: Internet Explorer v6.00 (6.00.2600.0000) - besuche: www.windowsupdate.com Boote in den abgesicherten Modus, fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken): O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!h**p://hitcounter.ath.cx/loud.chm::/bridge-c1 8.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - h**p://216.249.24.141/code/PWActiveXImgCtl.CAB boote in den normalen Modus. --------------------- Sende bitte folgende Dateien passwortgeschützt (mit Angabe des Passworts in der Mail) an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread. Diese Mail-Adresse gehört *Christian*, einem Boardmitglied, der unbekannte Dateien einer Prüfung unterziehen kann: C:\WINNT\system32\OOD2000.exe C:\WINNT\system32\ZoneLabs\minilog.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot D:\FreeRAM\FreeRAM XP Pro 1.40.exe .... und dann heisst es warten. Vielleicht weiss jemand von Euch über diese dateien Bescheid? |
argh.. ich bin dem ding auf dem leim gegangen.. bisher hab ich eben noch keine als tkbell getarnte viren gesehen, ich hab immer angenommen, "die variante gibts sicherlich nicht^^" aber offenbar doch.. na dann haben wir ja einen lovesan auchnoch drauf. da kommt am besten das removaltool von symantec zum einsatz. nämlich das: http://securityresponse.symantec.com/avcenter/FixLG.com |
so und jetzt eine einmischung von mir: ood2000.exe is von ner pcwelt cdrom, afaik ist dass doch die freeware von o&o defrag. minilog.exe ist der logfile updater von zonealarm, damit der log immer aktuell bleibt. FreeRAM XP Pro v1.40.exe ist freeram xp pro. das ist ein programm das den speicher entschlackt. |
laut symatec remover ist keine variante vom lovesan auf dem rechner also diesen eintrag auch rausnehmen O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot |
jep genau. der muss rausgelöscht werden. lösche auch gleich mal die datei um sicher zu gehen |
|
ups^^ hab ich mich doch glatt verschrieben. ich weiß schon die unterscheiden sich. die beiden sind aber auch vom namen her leicht zu verwechseln^^ |
so, lovegate wurde auch nicht gefunden. die backups von hjt und den qurantäneordner von antivir kann ich ja dann im abgesicherten modus auch löschen oder? weil av meldete grad schon wieder nen zugriffsversuch aus dem backupordner. |
Kannst du löschen. Wer hat keinen lovgate gefunden (Doch nicht etwa Norton? [über security symantec]) cacatoa |
|
Zitat:
1. Sophos Virenlexikon: Troj/Ikmet-A 2. Sophos Virenlexikon: Troj/Loony-J Warum ist diese Datei verschwunden? Wir haben sie nicht gelöscht, sie ist nicht beim eScan in Erscheinung getreten, sie kommt in keinem Hijack This Logfile mehr zum Vorschein, aber sie war da. Und wo ist sie jetzt? |
ich weiss es auch nicht. antivir verweigerte grad den zugriff von: C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\0FBQMETC\HILFEN-17-27866-10[2].HTML was ist das denn nun wieder? |
Lade das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf, falls Du es noch nicht runtergeladen hast ... |
hatte ich schon drüber laufen lassen. mach ich dann noch mal... kam eben beim googlen nach "evntsvc.exe" aber win32.dll.exe kann doch eigentlich auch gelöscht werden oder wird die benötigt? |
Leere Deine temporary internet files und vorbei iss es damit. Im Übrigen: mach Dir über die Frage von Shadowdance Gedanken... cacatoa |
ja toll, bin voll der newbie in diesen sachen. is das nun gut oder schlecht das die fehlt? |
sag mir lieber wo die Datei "win32.dll.exe" abgeblieben ist .. wenn Du sie noch auf dem System hast, und sie der 'W32/Spybot.worm.gen.b' ist, für den ich sie eingangs gehalten habe, hast Du einen sehr gefährlichen Backdoor auf dem System: # Ermöglicht Dritten den Zugriff auf den Computer # Stiehlt Daten # Lädt Code aus dem Internet herunter # Reduziert die Systemsicherheit # Installiert sich in der Registrierung |
über start/suchen find ich nix |
Die SOPHOS Virusinformation zu Troj/Loony-J: "Troj/Loony-J ist ein Windows-Backdoortrojaner, der unbefugten Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht. Wenn er gestartet wird, verschiebt sich der Trojaner als windll32.exe in den Windows-Systemordner und erstellt den folgenden Registrierungseintrag, damit er bei der Computeranmeldung gestartet wird: HKLM\Software\Microsoft\Windows\CurrentVersion\Run windll32 Driver windll32.exe Troj/Loony-J kann ebenfalls eine gefälschte Fehlermeldung mit dem Titel "Error-348" und dem Text "Runtime Link not found" anzeigen. Sobald er installiert ist, versucht Troj/Loony-J, einen SOCKS4-Server einzurichten, CD-Schlüssel zu stehlen und Dateien aus dem Internet herunterzuladen und zu starten, sofern er die entsprechenden Anweisungen von einem remoten Angreifer erhält." Ich schau mich mal um, ob dieser Backdoor die Fähigkeit hat, zu verschwinden .. zuzutrauen ist es ihm ... wenn jemand auf Deinen Rechner Zugriff hat, kann er die Datei umbenennen ... |
hatte win32dll.exe im zonealarm jeglichen zugriff verweigert. das aber schon länger. Loony-J remover mal laufen lassen? |
ok ich denke ich weiß jetzt was win32.dll.exe ist. es ist der Win32.HLLM.Bihup wurm. der wurm ist aber ziemlich witzlos, denn er führt nur sehr seltsame dinge aus wie dass es an Donnerstagen eine meldung in koreanisch "Message from a" schreibt. ist der wurm am dezember angekommen und hat die liste durch, deaktiviert er sich selbst. er ist allerdings so wenig bekannt, das man nur entfernt was von ihm findet. kann aber sein das ich mich irre und es doch was anderes ist. |
er heisst aber windll32.exe... |
das ist ein gewaltiger unterschied @rtfm also ist es der nicht gut^^ hm jep lass das tool mal laufen. argh ich hab schon wieder was neues rausgekriegt. unter windll32.exe stecken die verschiedensten würmer oder spywares. es gibt 3 möglichkeiten: -entweder es ist der Trojan.Win32.MSN.Ikmet.c -oder es ist der W32.HLLW.Astef -oder es ist loony-J wenn das loonytool den nicht finden kann sind nurnoch die oberen möglichkeiten möglich. |
Zitat:
|
hatte eben gedacht das ich ein tool dafür gesehen hatte. war aber was anderes. ich lösch die hjt backups jetzt noch und den quarantäne ordner. wenn ihr noch weitere infos findet zum windll32.exe dann postet es hier. ich bin dann im bett. vielen, vielen dank bis hierher. hat mich schon mal ein stück voran gebracht das ganze. melde mich morgen wieder. werde euch weiter empfehlen! |
@shadowdance ich würde nicht so sicher sein. es gibt noch 2 andere möglichkeiten was es sein kann. aber du hast recht, ist dieser backdoor auf dem system is sein system nicht mehr als sicher einzuschätzen. @rtfm lass mal das removal tool laufen. |
@ rtfm: Wenn es Troj/Ikmet-A wäre, hättest du als Startseite w*w.picturecentre.com gehabt. Troj/Loony-J erstellt folgenden Registrierungseintrag: HKLM\Software\Microsoft\Windows\CurrentVersion\Run windll32 Driver windll32.exe Wenn es BackOrifice ist, dann trifft folgendes zu: Das da Die Loony fallen alle unter den Sammelnamen W32/SpybotWorm gen.b. cacatoa |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:59 Uhr. |
Copyright ©2000-2025, Trojaner-Board