Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - HilfE (https://www.trojaner-board.de/17384-hilfe.html)

Kan mir jemand helfen mein virus prog zeigt dauernd an das die datei "internazionale_ver10[1].CAB" infiziert ist . Ich hab absolut keine ahnung was ich machen soll HILFE. :confused: :confused: :( :(
schon mal im voraus danke

Hijack und eScan. :daumenhoc

Vielen dank :daumenhoc

poste dann das log dann sehen wir weiter.

Bitte lade dir mal hijackthis herunter und scanne dein System laut dieser Anleitung

Zitat:

Zitat von Combine

Hijack und eScan. :daumenhoc

Sorry Combine!

Aber was soll man mit dieser Aussage anfangen.

@danny
mache bitte das was The Saint
dir gepostet hat.
HJT und dann logfile posten

chaosman

das?

Logfile of HijackThis v1.99.1
Scan saved at 22:09:17, on 03.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cJPCSC.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Symantec\LiveUpdate\ALUNOTIFY.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NETGEAR\WG121 Configuration Utility\wlancfg8.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\Valve\Steam\Steam.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\c\HijackThis.exe
C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gwc.dl.am/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2ED46F0F-5E15-6D58-1E81-2CD7C405C536} - C:\DOKUME~1\Daniel\ANWEND~1\SECTIN~1\STYLE ROAM.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [ALUAlert] C:\Programme\Symantec\LiveUpdate\ALUNOTIFY.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PicoZip] C:\Programme\PicoZip\PicoZipTray.exe
O4 - HKCU\..\Run: [software active] C:\DOKUME~1\Daniel\ANWEND~1\JUNKIT~1\LinkSkip.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Smart Wizard Wireless Settings.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/pa.../GSManager.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...006_cracks.cab
O16 - DPF: {4418DD4D-7265-4C32-BC0A-3FDB3C2DA938} (Protecter Class) - http://www.xxxtoolbar.com/ist/softwa...ct_regular.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101228590656
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/SymAData.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: cyberJack PC/SC Service (cjPCSC) - REINER SCT - C:\WINDOWS\system32\cJPCSC.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Mal ehrlich, die Antwort von Combine ist doch richtig, besser hätte ich sie auch nicht schreiben können, steht doch alles drin, ich finde es gut, dass Leute noch abstrahieren.
Und ein wenig Eigeninitiative der Nutzer, kann für die Zukunft auch nicht schaden!
LG, Charlie

check die datei mal mit jotti und teile uns das ergebnis des scans mit.
außerdem noch diese dateien (jotti):

Zitat:

C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\cJPCSC.exe
C:\WINDOWS\system32\ctfmon.exe

die ganzen addressen die bei R1/R0 stehen, sehen auch verdächtig aus, wenn du die nicht kennst/mit absicht gewählt hast ->fixen!
einige objekte die du nicht kennst, welche sich bei O16 und O23 befinden solltest du auch mal abchecken, dafür gibts hier irgendwo ne anleitung, ich weiß jetzt nicht wo.
auf jeden fall mal escan durchlaufen lassen, im abgesicherten modus.

Florian

Zitat:

Zitat von Flo86

check die datei mal mit jotti und teile uns das ergebnis des scans mit.
außerdem noch diese dateien (jotti):

C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\cJPCSC.exe
C:\WINDOWS\system32\ctfmon.exe

Warum? Die 3 sollten ok sein.

Zitat:

einige objekte die du nicht kennst, welche sich bei Odie ganzen addressen die bei R1/R0 stehen, sehen auch verdächtig aus, wenn du die nicht kennst/mit absicht gewählt hast

Bis auf eine sollten da alle OK sein.

Zitat:

O16 und O23 befinden solltest du auch mal abchecken

Warum die O23 Einträge, die sind ok. Bei einigen O16 hast du Recht.

mit der services.exe hatte ich auch schonmal probleme. die anderen drei sagen mir einfach nichts, deswegen lieber mal prüfen. genau wie mit den programmen unter 023: was du nicht brauchst, sollte auch nicht unnötig da sein. ich denke da besonders daran:

Zitat:

O23 - Service: cyberJack PC/SC Service (cjPCSC) - REINER SCT - C:\WINDOWS\system32\cJPCSC.exe

lieber einmal zu viel geprüft, als dann den schaden haben.

Florian

Die services.exe gehört in diesem Fall hierzu:

http://www.liutilities.com/products/...rary/services/

ist definitiv hier keine Malware

C:\WINDOWS\system32\cJPCSC.exe und auch der O23 Eintrag dazu ist gehört dazu:

http://www.reiner-sct.de/

Die letzte ist dann folgendes:

http://frankn.com/html/ctfmon_exe.html

OK ,

kann mir jemand nochmal einem noob erklären was ich jetzt tun soll :confused: :confused: .

thx.

Bei dir im HJT Logfile sind einige Einträge schlecht bevor wir hier etwas fixen, wäre ein Escan noch interessant.

Lol diesen Ordner " Bases´_X " gibts bei mir gar net

Zitat:

Lol diesen Ordner " Bases´_X " gibts bei mir gar net

Was steht in der Anleitung!!!!

Steht in der Anleitung, das du den Ordner suchen oder erstellen sollst?

Ooh .. sry
man bin ich dumm :headbang: :headbang: :headbang:

Zitat:

Zitat von danny

Ooh .. sry
man bin ich dumm :headbang: :headbang: :headbang:

nein eigentlich nicht nur etwas langsamer und genauer lesen ;)

Hi kann man mit dem was anfangen?

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed May 04 20:55:17 2005 => System found infected with IstBAR Spyware/Adware ({0985c112-2562-46f2-8da6-92648ba4630f})! Action taken: No Action Taken.
Wed May 04 20:55:17 2005 => File System Found infected by "IstBAR Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed May 04 20:55:17 2005 => System found infected with IstBAR Spyware/Adware ({67907b3c-a6ef-4a01-99ad-3fcd5f526429})! Action taken: No Action Taken.
Wed May 04 20:55:17 2005 => File System Found infected by "IstBAR Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed May 04 20:55:17 2005 => System found infected with istsvc Spyware/Adware! Action taken: No Action Taken.
Wed May 04 20:55:17 2005 => File System Found infected by "istsvc Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed May 04 20:55:17 2005 => System found infected with ist Spyware/Adware! Action taken: No Action Taken.
Wed May 04 20:55:17 2005 => File System Found infected by "ist Spyware/Adware" Virus. Action Taken: No Action Taken.
Wed May 04 20:59:12 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed May 04 20:56:31 2005 => File C:\WINDOWS\system32\H@tKeysH@@k.DLL tagged as not-a-virus:Cracker.Game.HotHook.dll. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed May 04 20:59:12 2005 => Total Virus(es) Found: 5
Wed May 04 20:59:13 2005 => Total Errors: 3
Wed May 04 20:59:13 2005 => Time Elapsed: 00:05:11
Wed May 04 20:59:12 2005 => Total Objects Scanned: 2953
Wed May 04 20:42:28 2005 => Virus Database Date: 2005/05/02
Wed May 04 20:53:46 2005 => Virus Database Date: 2005/05/02
Wed May 04 20:59:13 2005 => Virus Database Date: 2005/05/02
Wed May 04 21:00:25 2005 => Virus Database Date: 2005/05/02
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Wechsle in den abgesicherten Modus Hierbei beachte das die Systemwiederherstellung abgeschalten ist und dies geschieht folgendermaßen.
Rechter Mausklick auf das Symbol Arbeitsplatz --> Eigenschaften --> Systemwiederherstellung (Haken bei "Systemwiederherstellung bei allen Laufwerken deaktivieren setzen").
Oder diese Erklärung http://www.bsi.bund.de/av/texte/wiederher_xp.htm
Wichtig die Systemwiederherstellung muß deaktiviert sein

Lasse Spybot im abgesicherten Modus laufen

Danach fixe im abgesicherten Modus folgende Einträge wenn noch vorhanden:

Zitat:

C:\DOKUME~1\Daniel\ANWEND~1\SECTIN~1\STYLE ROAM.exe falls nicht bekannt
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [PicoZip] C:\Programme\PicoZip\PicoZipTray.exe falls nicht bekannt
O4 - HKCU\..\Run: [software active] C:\DOKUME~1\Daniel\ANWEND~1\JUNKIT~1\LinkSkip.exe falls nicht bekannt
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com falls nicht bekannt
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softw...0006_cracks.cab
O16 - DPF: {4418DD4D-7265-4C32-BC0A-3FDB3C2DA938} (Protecter Class) - http://www.xxxtoolbar.com/ist/softw...ect_regular.cab

Danach neustarten und neues Logfile posten

Danach fixe im abgesicherten Modus folgende Einträge wenn noch vorhanden:

was meinst du damit :confused:

Zitat:

Zitat von danny

was meinst du damit :confused:

Er meint: du musst die Anleitung durcharbeiten bevor du ein Programm benutzst.

Mit Hijackthis scannen und die von mir angebenen Dateien anhacken und danach auf fix checked klicken.

EDIT: Hast du mit Escan falsch gescannt!

Wed May 04 20:59:12 2005 => Total Objects Scanned: 2953

Hab jetzt ma diesen spybot durchlaufen lassen der hat was gefunden und repariert.
EDIT: Hast du mit Escan falsch gescannt!

wie falsch gescannt

Ich frage mich warum erstellt man eine Anleitung wenn man die dann nicht genau durchlest???

Ich frage mich ernsthaft, wie man bei der Anleitung von "The Saint" noch etwas falsch machen kann :balla:
Eventuell sollten wird das Ganze vertonen und auf CD in den Handel bringen ;)

LOL ?!?
Habs genau so gemacht wies in der anleitung stand

Das ist dann ein neues Betriebssystem Windows XP SP2 NEU mit nur 2953 Dateien.

Denkst du nicht auch, das es da noch mehr gibt?

Ich habe in meinem Windows ordner ca. 16000 Dateien in 1050 Ordner und du hast auf dem ganzen System 2953

Zitat:

Zitat von Haui45

Ich frage mich ernsthaft, wie man bei der Anleitung von "The Saint" noch etwas falsch machen kann :balla:
Eventuell sollten wird das Ganze vertonen und auf CD in den Handel bringen ;)

Hallo haui45 vorest "Schönen guten Abend"

Du ich mach das das Programm dazu hätte ich und du bringst es an den Mann/Frau :D

Zitat:

Zitat von The Saint

Hallo haui45 vorest "Schönen guten Abend"

Du ich mach das das Programm dazu hätte ich und du bringst es an den Mann/Frau :D

Gekauft wird es sicherlich, aber ob es was nützt?!
LG, Charlie :blabla: