Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   W32.pinf (https://www.trojaner-board.de/19767-w32-pinf.html)

HOPELESS.at 12.07.2005 12:31
W32.pinf
 
Hallo,

Mir wirft Norton immer die Meldung mit oben angeführten Virus aus.

Bin schon nach der ANleitung von Symantec nachgegangen ---> kein Erfolg.

Bei div. anderen Anleitungen von "Insidern" steh ich nur an.

Wer kann helfen.

Dank Flo

cronos 12.07.2005 14:38
Wo wird den der Virus genau gefunden( Pfadangabe)?
Poste zusätzlich einen Hijackthis-Log

HOPELESS.at 12.07.2005 19:45
Hoffe hab alles richtig gemacht!


Pfad: C:\WINDOWS\System32\upnpdrv.exe


Logfile of HijackThis v1.99.1
Scan saved at 20:42:50, on 12.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\upnpdrv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
D:\Programme\Skype\Phone\Skype.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\HOPELESS.at\Desktop\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD9E17B9-75E4-488D-8B03-7EDF1F810E18}: NameServer = 194.152.104.2 194.152.107.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE7E8799-4A0A-4481-9C60-5FC7908D58A7}: NameServer = 194.152.107.2,194.152.104.2
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINDOWS\System32\upnpdrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Haui45 12.07.2005 19:58
Überprüfe die Datei doch mal online bei http://virusscan.jotti.org/de und poste das Ergebnis.

Gigamail 12.07.2005 20:03
Hi,

beende den Prozess im Taskmanager und lasse mal die Datei hier scannen und teile das Ergebnis mit,
für die Aktion solltest du deinen Virenscanner deaktivieren

C:\WINDOWS\System32\upnpdrv.exe

viel Hoffnung mach ich dir nicht

HOPELESS.at 12.07.2005 20:13
Datei: upnpdrv.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: PE-CRYPT.ANTIDEB
Nr. 1


AntiVir W32/Parite.b.3 gefunden
ArcaVir Trojan.Rbot.J11 gefunden
Avast Win32:Trojano-1641 gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Dropped:Exploit.LSASS.C gefunden (mögliche Variante)
ClamAV Keine Viren gefunden
Dr.Web BackDoor.IRC.Moto gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/Parite.B gefunden
Kaspersky Anti-Virus Virus.Win32.Parite.b gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Win32.Parite.b gefunden
VBA32 Virus.Win32.Parite.b gefunden

Gigamail 12.07.2005 21:18
da es sich hier höchstwahrscheinlich doch um einen Backdoor handelt würde ich dir, um wieder sicher im Netz zu sein zum Neuaufsetzen raten.
Du kannst mal noch folgendes machen

Start--> Ausführen--> cmd--> <enter>

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

--> kopiere nur die Eintraege der letzten 30 Tage raus und poste das Ergebnis

HOPELESS.at 12.07.2005 22:27
Hab den PC erst gestern neu aufgestezt, aber nur die C: Platte (Partition)
die d: will ich erst in letzter Instanz formatieren

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4A6-FFF6

Verzeichnis von C:\WINDOWS\system32

12.07.2005 21:13 890 vsconfig.xml
12.07.2005 20:55 21.828 nvapps.xml
12.07.2005 11:03 4.212 zllictbl.dat
12.07.2005 10:57 225.236 upnpdrv.exe
11.07.2005 17:33 113.376 FNTCACHE.DAT
11.07.2005 17:32 1.496 ROXECDC6Inst.log
11.07.2005 17:31 0 h323log.txt
11.07.2005 17:03 48.156 perfc007.dat
11.07.2005 17:03 316.594 perfh007.dat
11.07.2005 17:03 39.992 perfc009.dat
11.07.2005 17:03 311.604 perfh009.dat
11.07.2005 17:03 723.744 PerfStringBackup.INI
11.07.2005 16:43 25.065 wmpscheme.xml
11.07.2005 16:42 2.206 wpa.dbl
11.07.2005 16:37 386 $winnt$.inf
11.07.2005 16:35 2.951 CONFIG.NT
11.07.2005 16:35 16.832 amcompat.tlb
11.07.2005 16:35 23.392 nscompat.tlb
11.07.2005 16:35 488 logonui.exe.manifest
11.07.2005 16:35 488 WindowsLogon.manifest
11.07.2005 16:34 749 cdplayer.exe.manifest
11.07.2005 16:34 749 sapi.cpl.manifest
11.07.2005 16:34 749 nwc.cpl.manifest
11.07.2005 16:34 749 wuaucpl.cpl.manifest
11.07.2005 16:34 749 ncpa.cpl.manifest
11.07.2005 16:33 21.740 emptyregdb.dat
------------------------------------ C Platte neu aufgesetzt

03.06.2005 05:44 67.336 zlcommdb.dll
03.06.2005 05:44 75.528 zlcomm.dll
03.06.2005 05:43 100.096 vsxml.dll
03.06.2005 05:43 354.056 vsutil.dll
03.06.2005 05:43 71.432 vsregexp.dll
03.06.2005 05:43 198.408 vspubapi.dll
03.06.2005 05:43 108.296 vsmonapi.dll
03.06.2005 05:43 124.680 vsinit.dll
03.06.2005 05:42 279.656 vsdatant.sys
03.06.2005 05:42 75.528 vsdata.dll
03.06.2005 05:16 50.864 vsutil_loc0407.dll

Gigamail 13.07.2005 01:59
Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

upnpdrv

Klick 'OK'

warten, bis die Suche beendet ist. (gefundene Schlüssel löschen)

schau auf dem System ob die folgenden Dateien vorhanden sind

Verzeichnis C:\WINDOWS

C:\WINDOWS\update-sp2.html
C:\WINDOWS\update-sp5.html
C:\WINDOWS\t.bat


Verzeichnis C:\

C:\srhys.exe
C:\JHL.exe

--> boote in den abgesicherter Modus , deaktiviere die
Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken ) Anleitung
folgende Einträge:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINDOWS\System32\upnpdrv.exe

Einstellung zum Anzeigen aller Dateien:

Windows Explorer --> "Extras/Ordneroptionen" --> "Ansicht" --> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren --> "OK"

lösche von Hand oben genannte Dateien falls vorhanden und

C:\WINDOWS\web\related.htm
C:\WINDOWS\System32\upnpdrv.exe

Datenträgerbereinigung:

Windowstaste+R --> %temp% --> <enter>
Inhalt löschen
Windowstaste+R --> cleanmgr --> <enter>
Klick bei Temp
Klick bei Temporary Internet Files
Klick bei Papierkorb
Ok

neu booten neues HJT posten

HOPELESS.at 13.07.2005 09:08
Morgen!

Soda:

Zitat:
Gigamail
reinkopieren:

upnpdrv

Klick 'OK'

warten, bis die Suche beendet ist. (gefundene Schlüssel löschen)
Einziges Ergebnis:

Zitat:
RegSrch.vbs
Search completed in 26 seconds.

No instances of "C:\WINDOWS\System32\upnpdrv.exe" found
Zitat:
Gigamail
schau auf dem System ob die folgenden Dateien vorhanden sind

Verzeichnis C:\WINDOWS

C:\WINDOWS\update-sp2.html NEIN
C:\WINDOWS\update-sp5.html NEIN
C:\WINDOWS\t.bat


Verzeichnis C:\

C:\srhys.exe NEIN
C:\JHL.exe NEIN
Zitat:
Gigamail
--> boote in den abgesicherter Modus , deaktiviere die
Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken ) Anleitung
folgende Einträge:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe ---> nicht vorhanden (nur im abges. Modus)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINDOWS\System32\upnpdrv.exe
Logfile of HijackThis v1.99.1
Scan saved at 09:59:23, on 13.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\Skype\Phone\Skype.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\upnpdrv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Dokumente und Einstellungen\HOPELESS.at\Desktop\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE7E8799-4A0A-4481-9C60-5FC7908D58A7}: NameServer = 194.152.107.2,194.152.104.2
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINDOWS\System32\upnpdrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Gigamail 13.07.2005 09:36
Zitat:
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe ---> nicht vorhanden (nur im abges. Modus)
und was ist das im aktuellen Logfile?
Zitat:
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
lade dir eScan siehe meine Signatur lese auch gleich die Anleitung

schau unter Dienste ob es einen solchen gibt:
Universal Plug and Play device driver
Windowstaste+R -->services.msc --> <enter>
auf dem Dienst wenn vorhanden einen Doppelklick, unter Starttyp deaktivieren auswählen
Übernehmen --> OK

boote nochmal in den abgesicherten Modus und fixe folgende Einträge:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINDOWS\System32\upnpdrv.exe

lösche von Hand

C:\WINDOWS\t.bat --> wenn noch vorhanden
C:\WINDOWS\System32\upnpdrv.exe

scanne jetzt mit eScan halte dich genau an die Anleitung
Neu booten Ergebnis mitteilen

HOPELESS.at 13.07.2005 14:28
Zitat:
Gigamail
boote nochmal in den abgesicherten Modus und fixe folgende Einträge:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINDOWS\System32\upnpdrv.exe

lösche von Hand

C:\WINDOWS\t.bat --> wenn noch vorhanden
C:\WINDOWS\System32\upnpdrv.exe
Alles war nicht da!

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe

...wird im abgesicherten Modus nicht angezeigt

Hier das Ergebnis (habs aber manuell rauskopiert):


Wed Jul 13 143009 2005 = System found infected with Alexa SpywareAdware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken No Action Taken.
Wed Jul 13 150809 2005 = Total Disinfected Files 0
Wed Jul 13 143208 2005 = File CDokumente und EinstellungenHOPELESS.atDesktopzlsSetup_55_109_000.exe tagged as not-a-virusTool.Win32.Reboot. No Action Taken.
Wed Jul 13 145409 2005 = File DProgram FilesAltnetDownload Managerasm.exe tagged as not-a-virusAdWare.Altnet.l. Action Taken No Action Taken.
Wed Jul 13 145409 2005 = File DProgram FilesAltnetDownload Managerasmps.dll tagged as not-a-virusAdWare.Altnet.b. Action Taken No Action Taken.
Wed Jul 13 145453 2005 = File DProgrammeICQLiteUnwise32.exe tagged as not-a-virusTool.Win32.Reboot. No Action Taken.
Wed Jul 13 145509 2005 = File DProgrammeInstallgmx_toolbar.exe tagged as not-a-virusTool.Win32.Reboot. No Action Taken.
Wed Jul 13 145520 2005 = File DProgrammeInstallzlsSetup_55_109_000.exe tagged as not-a-virusTool.Win32.Reboot. No Action Taken.
Wed Jul 13 145954 2005 = File DProgrammeSierraCounter-StrikeUNWISE.EXE tagged as not-a-virusTool.Win32.Reboot. No Action Taken.
Wed Jul 13 150228 2005 = File DProgrammeValveSteamUnwise32.exe tagged as not-a-virusTool.Win32.Reboot. No Action Taken.
Wed Jul 13 150554 2005 = File DSystem Volume Information_restore{C4EF1212-9872-4D1C-A505-74C039C8C591}RP33A0006574.dll tagged as not-a-virusAdWare.Altnet.d. Action Taken No Action Taken.

Gigamail 13.07.2005 18:51
hast du diese Datei jetzt löschen können?
C:\WINDOWS\System32\upnpdrv.exe

war der beschriebene Dienst vorhanden und konntest du ihn deaktivieren?

fixe den Eintrag im normalen Modus
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe

Lade Dir Spybot-S&D und
Ad-Aware und update beide Programme.

deaktiviere die Systemwiederherstellung und boote in den abgesicherten Modus, lösche die gefundenen AltnetDateien

scanne nacheinander mit Ad-aware und Spybot und lösche alle Funde

neu booten und ein aktuelles HJT posten

HOPELESS.at 15.07.2005 15:44
Kann es sein dass er jetz weg ist?

cronos 15.07.2005 15:47
Keiner kann hier hellsehen.
Poste einen neuen HJT-Log.


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:53 Uhr.

Copyright ©2000-2026, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58