|
Mir ist klar das zum selben Trojaner schon ein Thread offen war aber ich bin mir sicher das das problem wo anders liegt.....irgendwie ?! Zumindest hab ich mit überhauptkeinen nebenwirkungen zu kämpfen !! Bekomme aber im Minutentakt eine nette Viruswarnung von AntiVir (auf dem neusten Stand) ! DIe datei ATpartners.dll ist der Trojaner TR/Small.GS.2 !! Blöd...... Archiv file. unlöschbar ??? hier mal die hijackthis log: Logfile of HijackThis v1.97.7 Scan saved at 11:14:07, on 23.05.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\AVPersonal\AVGNT.EXE C:\Programme\Wsr\WinsysRsr.exe C:\Programme\D-Tools\daemon.exe C:\WINDOWS\wt\wcmdmgr.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\WINDOWS\System32\ctfmon.exe C:\dokume~1\dreadn~1\anwend~1\webcheck.exe C:\Programme\Internet Explorer\iexplore.exe C:\AVPersonal\AVGUARD.EXE C:\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Omniquad\Omniquad Personal Firewall\OPFSVC.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\sysupd.exe C:\PROGRA~1\FLASHGET\flashget.exe C:\Dokumente und Einstellungen\Dreadnught\Desktop\Incomming Files\hjt.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\System32\siae3123.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchcentral.cc/search.php?v=4&aff=2328 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchcentral.cc/index.php?v=4&aff=2328 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll (file missing) O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\ATPART~1.DLL O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file) O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\System32\bridge.dll (file missing) O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [AVGCtrl] C:\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [SpyStopper] C:\Programme\SpyStopper\spystopper.exe O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner\RivaTuner.exe" /S O4 - HKLM\..\Run: [Internet Explorer Updater] C:\WINDOWS\system32\lexbac.exe O4 - HKLM\..\Run: [WinsysRsr] C:\Programme\Wsr\WinsysRsr.exe O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\wcmdmgrl.exe -launch O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe" O4 - HKCU\..\Run: [System Update2] c:\dokume~1\dreadn~1\anwend~1\webcheck.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FLASHGET\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FLASHGET\jc_link.htm O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O16 - DPF: Win32 Classes - O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.217.29.115/cax.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/pa.../GSManager.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/15cd8c91...dxIE601_de.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {BD11A280-2E73-11CF-B6CF-00AA00A74DAE} - file://C:\Info_sex4.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6FF36DE5-2369-47AD-912A-8809ECED88AE}: NameServer = 217.237.151.97 194.25.2.129 |
ja hab genau das gleiche problem auch bis jetzt keine nebenwirkungen oder sonstigen blödsinn nur im minutentakt die viruswarnung gibts denn keine einfache möglichkeit das zu beheben? |
hab gerade beim durchsehen der erklärung von den Log files was bemerkt !! Die diese Zeile: O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\ATPART~1.DLL trägt den gleichen Namen wie die Trojaner file !!! fixen ???????? !?!?! |
Hallo 'DieIdeeistGut' und Willkommen, hast Du schon die hier im Board merhfach beschriebenen Tools Ad-aware, Spybot Search&Destroy und den CWShredder (im abgesicherten Modus Deines Rechners) ausgeführt? Das Log zeigt noch weitere 'suspekte' Einträge... Also lass mal die genannten Tools Dein System überprüfen und poste danach ein aktuelles HijackThis-Log. |
@DieIdeeistGut Mich wundert es kein bisschen, dass hier soviele Malwaresammlungen auf dem PC habt, wenn ihr kein www.windowsupdate.com macht. |
Wow, die behandlung durch ad-aware und Cwshredder hat zwar sage und schreibe 132 Malware und Dataminer zu Tage gefördert und eliminiert....für den Tipp schon mal danke ;) Aber die Viruswarnung bin leider immer noch nicht los. poste gleich noch ne aktuelle hijackthis log ! |
Ok mich wundert gar nichts mehr....... nachdem ich jetz den ganzen Salat auch noch durch spybot S&D gejagt habe hab ich ungefär noch ma soviel gefunden.....hätte ich nie gedacht sogar ein 0190 Dailer der aber bisheute nicht connecten konnte oder zumindest keinen schaden angerichtet hat....irgendwie sonst hätte ihn YAW bestimmt beim connecten erwischt !! (an der rechnung merk ich auch nix) Glück gehabt..........naja also insgesammt so knapp 200 "böse" Sachen draufgehabt......der Trojaner is aber immer noch da hier die hijackthis Logfile: Logfile of HijackThis v1.97.7 Scan saved at 15:14:59, on 23.05.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\AVPersonal\AVGUARD.EXE C:\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Omniquad\Omniquad Personal Firewall\OPFSVC.exe C:\WINDOWS\System32\svchost.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\AVPersonal\AVGNT.EXE C:\Programme\Wsr\WinsysRsr.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\sysupd.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\ctfmon.exe C:\dokume~1\dreadn~1\anwend~1\webcheck.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Dreadnught\Desktop\Incomming Files\Sicherheit\hjt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [AVGCtrl] C:\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [SpyStopper] C:\Programme\SpyStopper\spystopper.exe O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner\RivaTuner.exe" /S O4 - HKLM\..\Run: [Internet Explorer Updater] C:\WINDOWS\system32\lexbac.exe O4 - HKLM\..\Run: [WinsysRsr] C:\Programme\Wsr\WinsysRsr.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe" O4 - HKCU\..\Run: [System Update2] c:\dokume~1\dreadn~1\anwend~1\webcheck.exe O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FLASHGET\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FLASHGET\jc_link.htm O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/pa.../GSManager.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/15cd8c91...dxIE601_de.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...130.2145717593 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6FF36DE5-2369-47AD-912A-8809ECED88AE}: NameServer = 217.237.151.97 194.25.2.129 hmm ich denk mal auf jeden weniger schrott als anfangs ! ;) |
Hi, folgendes musst Du noch fixen und die entsprechenden Dateien -sofern vorhanden- löschen: </font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [Internet Explorer Updater] C:\WINDOWS\system32\lexbac.exe O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe </font>[/QUOTE]Die Aufrufe unter O4 kannst Du hier auch mal selbst überprüfen: http://www.sysinfo.org/startuplist.php Must nur etwas Geduld mitbringen, da die Seite oft überlastet ist! Ggf. öfter auf aktualisieren klicken! Zu dem Trojaner-Problem: Wo genau findet AntiVir den Trojaner? Also mach bitte mal eine genaue Pfadangabe. Evtl. reicht es schon, wenn Du mal die temporären Dateien des InternetExplorers löscht. Und beachte bitte den Hinweis von *Christian* mit dem WindowsUpdate! |
weitere malware: </font><blockquote>Zitat:</font><hr /> O4 - HKCU\..\Run: [System Update2] c:\dokume~1\dreadn~1\anwend~1\webcheck.exe </font>[/QUOTE]kann auch raus : </font><blockquote>Zitat:</font><hr /> O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/15cd8c91...dxIE601_de.cab </font>[/QUOTE] |
So....es ist vollbracht !! Zumindest was malware und weiteres angeht. lies sich nicht fixen/löschen: O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe ist übrigens die Dailer Datei !! Nennt sich TSCash (noch kein bekannter schaden) lies sich auch von spybot nicht entfernen ! Genaue Pfadangabe für Small.GS.2 ist: C:\Windows\System32\ATPARTNERS.DLL Archiv datei nicht löschbar !! Hmmm Pc soweit ganz clean bis auf diese zwei geschichten !!! Insofern schon mal thx an euch und die schnellen antworten !!! Windows Update ist am downloaden ! ;) |
Funktioniert das Löschen auch nicht im abgesicherten Modus? |
DieDatei ließ sich prima im abgesicherten Modus löschen !!! Dailer somit auch weg......bleibt nur noch das trojaner problem....bis ketzt noch keine Virusmeldung von Antivir...... ;) mal sehn thx so far tolles team !!!! Gute Seite !!!!! [img]graemlins/huepp.gif[/img] |
halli hallo, oh man mich plagt seit vorgestern abend der gleiche trojaner, hatte Ad Aware 6, Stinger und Antivir guard, aber kein Programm kann es löschen... kann mir da jemand (ich bin weiblich- also ich hab net so viel ahnung von computern)vielleicht weiterhelfen? Bitte Bitte Bitte Bitte Bitte Bitte Bitte Bitte Bitte!!! Liebe Grüße Sportyangelari |
|
Hi Sportyangelari, bitte arbeite doch mal die o.g. Tips/Fragen ab: - Scan mit SPYBOT & Cwshredder - wo wird er genau gefunden ? - Welches Win hast du ? Alle Windowsupdates ? - Hijackthis-Log hier reinstellen: Anleitung hier oben rechts unter "News/Schlagzeilen".. - Obige Forensuche verwendet ? ;) |
hi ^ also ich arbeite mal heut abend die liste ab, muss jetzt nur schnell zum training flitzen.. also vorerst hab windows xp :) LG sportyangelari |
Erstell am besten zunächst mal das LogFile, dann gewinnt man auch einen Überblick über den "Patch-Stand" auf deinem System... |
moin, </font><blockquote>Zitat:</font><hr />Original erstellt von DieIdeeistGut: Logfile of HijackThis v1.97.7 Scan saved at 15:14:59, on 23.05.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) O4 - HKLM\..\Run: [SystemTray] SysTray.Exe </font>[/QUOTE]mich wundert dieser starteintrag aber auch ein wenig! bei win xp hab ich noch nie eine systray.exe gesehen. bitte mal bei RAV online durchchecken lassen zur sicherheit. ;) |
N´abend, Also das hat cwshredder ausgespuckt: Was das nun bedeutet? keine ahnung... ich poste gleich noch einmal das hijak gedingse.... frau halt, gelle? Grinsi Eure sportyangelari Windows XP (5.01.2600 ) Windows dir: C:\WINDOWS Windows system dir: C:\WINDOWS\system32 AppData folder: C:\Dokumente und Einstellungen\Ariane\Anwendungsdaten Username: Ariane Found Hosts file: C:\WINDOWS\system32\drivers\etc\hosts (894 bytes, A) Hosts file: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe, CWS.Oslogo (if value is 2) Registry value: Domains: *.coolwebsearch.com[*] dword:4 CWS.Oslogo (if value is 2) Registry value: Domains: *.coolwwwsearch.com[*] dword:4 CWS.Googlems.2 (if value is 2) Registry value: Domains: *.xxxtoolbar.com[*] dword:4 CWS.Googlems.4 (if value is 2) Registry value: Domains: *.teensguru.com[*] dword:4 Registry value: DefaultPrefix (should be http://) [] http:// Registry value: WWW Prefix (should be http://) [www] http:// Registry value: Mosaic Prefix (should be http://) [mosaic] http:// Registry value: Home Prefix (should be http://) [home] http:// Found Win.ini file: C:\WINDOWS\win.ini (600 bytes, A) Found System.ini file: C:\WINDOWS\system.ini (227 bytes, A) ach und der trojaner heisst als datei: c:/windows/system32/atpartners.dll: |
ok frau hat es hinbekommen, hier sind die log-infos.... wehe irgendjemand treibt damit unfug * allefiesenbösanschau* Grins hoffe mir kann hier jemand helfen... bitte die 30 sekündige meldung treibt mich zur weißglut.... Lg die ari :mad: Logfile of HijackThis v1.97.7 Scan saved at 22:36:51, on 25.05.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\ArcorDSL\ArcorDSL.exe C:\PROGRA~1\ICQ\ICQ.exe C:\WINDOWS\SysUpd.exe C:\Programme\WinAce\WinAce.exe C:\DOKUME~1\Ariane\LOKALE~1\Temp\~AceTemp\hijackthis1977\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor R3 - Default URLSearchHook is missing O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing) O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [cxudrvdrv] C:\WINDOWS\System32\sftmon.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\SysUpd.exe O4 - HKLM\..\Run: [vqfqtkh] C:\WINDOWS\vqfqtkh.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [cxudrvdrv] C:\WINDOWS\System32\sftmon.exe O4 - HKLM\..\RunOnce: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" "+b1" O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Recherchieren (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de O15 - Trusted Zone: http://www.liebesschmerzen.de O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E6ADD192-BB4C-4031-8FD1-ABDB68F99EE0}: NameServer = 145.253.2.11 145.253.2.171 |
Moin, Frau! ;) </font><blockquote>Zitat:</font><hr />Original erstellt von sportyangelari: ok frau hat es hinbekommen, hier sind die log-infos.... wehe irgendjemand treibt damit unfug * allefiesenbösanschau*</font>[/QUOTE]Hm, was sollten wir denn damit anstellen? Eine Pizza auf deine Rechnung bestellen? ;) Keine Sorge, so ein LogFile gibt nicht viel dazu her. [img]smile.gif[/img] </font><blockquote>Zitat:</font><hr />die 30 sekündige meldung treibt mich zur weißglut....</font>[/QUOTE]Vom AntiVirenprogramm? OK, mal sehen, inwieweit wir der Ariane auf dem Weg nach oben weiterhelfen können. ;) *g* Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Das System solltest du dringend patchen, sprich: alle Updates einspielen. Diese Datei bitte bei Kaspersky prüfen: C:\WINDOWS\SysUpd.exe http://www.kaspersky.com/de/scanforvirus Löschen (in HijackThis markieren, dann Fix checked wählen): O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [vqfqtkh] C:\WINDOWS\vqfqtkh.exe O4 - HKCU\..\Run: [cxudrvdrv] C:\WINDOWS\System32\sftmon.exe |
</font><blockquote>Zitat:</font><hr />Original erstellt von sportyangelari: ach und der trojaner heisst als datei: c:/windows/system32/atpartners.dll:</font>[/QUOTE]Starte Windows im abgesicherten Modus, und lösch neben den anderen, bereits genannten Dateien, auch diese. Wie das Starten im Abgesicherten Modus geht, steht hier beschrieben: http://www.bsi.de/av/texte/winsave.htm#WindowsXP |
Halli Hallo.... also hab alle Ratschläge befolgt * den abgesicherten Modus konnte ich auch noch ohne bedienungsanleitung ausführen, aber trotzdem danke* und er ist wech.... naja jedenfalls hab ich seit 10 Minuten keine AV meldung mehr bekommen... muahmuahmuahmuah.... *stirb du Mistvieh* Also noch einmal tausend Dank an Euch Klasse :) [img]graemlins/party.gif[/img] Ariane |
Hallo, schön, dass es funktioniert hat. Was ergab die Prüfung der SysUpd.exe? Wichtig zur Vorbeugung ist es, dass du die aktuellsten Patches einspielst. Falls du kein DSL hast, kannst du dir hier kostenfrei eine CD bei Microsoft bestellen, und dann nur den Rest über's Internet laden (dazu den IE benutzen). Ansonsten, also für das Surfen im Netz, empfehle ich eher... - Firefox - Mozilla - Opera |
hallo zusammen, hab mich auch lange mit dem gleichen problem gequält. irgendwann hab ich eine unorthodoxe methode gewählt: 1. das infizierte file ist ATPARTNERS.DLL 2. öffne das file mit editor. lösche den inhalt bis auf die ersten Zeilen (jen nach belieben) 3. speichern. es ist wichtig, daß der typ konfigurationsdatei bestehen bleibt. keinesfalls darf es schon als vir etc. gelogged sein (ich weiß jedenfalls nicht wie man das fixed) 4. in den einstellungen der Datei auf "schreibgeschützt" stellen. damit ist der infizierte inhalt gelöscht, AntiVir erkennt es nicht mehr als solches und außerdem hat die routine die immer wieder das file generiert keine chance mehr, da es das gefakte file nicht überschreiben kann seither hab ich Ruhe!! grüße Gerhard |
Hi Folks, hab mir auch diesen Trojaner eingefangen - die Dateien in denen er sein soll hab ich aber nicht!!!! hier ist mal mein Log: Logfile of HijackThis v1.97.7 Scan saved at 12:09:57, on 04.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\gearsec.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SYSTEM32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Winamp\Winampa.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\PowerArchiver\POWERARC.EXE C:\DOKUME~1\Steffen\LOKALE~1\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = @ie R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.monash.edu.au:80 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/181ba6867e953d1...dxIE601_de.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...974.3346643519 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab |
Sorry zu früh abgeschickt [img]smile.gif[/img] Kann mir da jemand weiterhelfen? Bin schon langsam am verzweifeln weil nichts aus den Foren auf meinen Fall zutrifft Danke Steffen |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:55 Uhr. |
Copyright ©2000-2025, Trojaner-Board