Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   W32.pinf (https://www.trojaner-board.de/19767-w32-pinf.html)

HOPELESS.at 12.07.2005 12:31
W32.pinf
 
Hallo,

Mir wirft Norton immer die Meldung mit oben angeführten Virus aus.

Bin schon nach der ANleitung von Symantec nachgegangen ---> kein Erfolg.

Bei div. anderen Anleitungen von "Insidern" steh ich nur an.

Wer kann helfen.

Dank Flo

cronos 12.07.2005 14:38
Wo wird den der Virus genau gefunden( Pfadangabe)?
Poste zusätzlich einen Hijackthis-Log

HOPELESS.at 12.07.2005 19:45
Hoffe hab alles richtig gemacht!


Pfad: C:\WINDOWS\System32\upnpdrv.exe


Logfile of HijackThis v1.99.1
Scan saved at 20:42:50, on 12.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\upnpdrv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
D:\Programme\Skype\Phone\Skype.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\HOPELESS.at\Desktop\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD9E17B9-75E4-488D-8B03-7EDF1F810E18}: NameServer = 194.152.104.2 194.152.107.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE7E8799-4A0A-4481-9C60-5FC7908D58A7}: NameServer = 194.152.107.2,194.152.104.2
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINDOWS\System32\upnpdrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Haui45 12.07.2005 19:58
Überprüfe die Datei doch mal online bei http://virusscan.jotti.org/de und poste das Ergebnis.

Gigamail 12.07.2005 20:03
Hi,

beende den Prozess im Taskmanager und lasse mal die Datei hier scannen und teile das Ergebnis mit,
für die Aktion solltest du deinen Virenscanner deaktivieren

C:\WINDOWS\System32\upnpdrv.exe

viel Hoffnung mach ich dir nicht

HOPELESS.at 12.07.2005 20:13
Datei: upnpdrv.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: PE-CRYPT.ANTIDEB
Nr. 1


AntiVir W32/Parite.b.3 gefunden
ArcaVir Trojan.Rbot.J11 gefunden
Avast Win32:Trojano-1641 gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Dropped:Exploit.LSASS.C gefunden (mögliche Variante)
ClamAV Keine Viren gefunden
Dr.Web BackDoor.IRC.Moto gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/Parite.B gefunden
Kaspersky Anti-Virus Virus.Win32.Parite.b gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Win32.Parite.b gefunden
VBA32 Virus.Win32.Parite.b gefunden

Gigamail 12.07.2005 21:18
da es sich hier höchstwahrscheinlich doch um einen Backdoor handelt würde ich dir, um wieder sicher im Netz zu sein zum Neuaufsetzen raten.
Du kannst mal noch folgendes machen

Start--> Ausführen--> cmd--> <enter>

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

--> kopiere nur die Eintraege der letzten 30 Tage raus und poste das Ergebnis

HOPELESS.at 12.07.2005 22:27
Hab den PC erst gestern neu aufgestezt, aber nur die C: Platte (Partition)
die d: will ich erst in letzter Instanz formatieren

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: B4A6-FFF6

Verzeichnis von C:\WINDOWS\system32

12.07.2005 21:13 890 vsconfig.xml
12.07.2005 20:55 21.828 nvapps.xml
12.07.2005 11:03 4.212 zllictbl.dat
12.07.2005 10:57 225.236 upnpdrv.exe
11.07.2005 17:33 113.376 FNTCACHE.DAT
11.07.2005 17:32 1.496 ROXECDC6Inst.log
11.07.2005 17:31 0 h323log.txt
11.07.2005 17:03 48.156 perfc007.dat
11.07.2005 17:03 316.594 perfh007.dat
11.07.2005 17:03 39.992 perfc009.dat
11.07.2005 17:03 311.604 perfh009.dat
11.07.2005 17:03 723.744 PerfStringBackup.INI
11.07.2005 16:43 25.065 wmpscheme.xml
11.07.2005 16:42 2.206 wpa.dbl
11.07.2005 16:37 386 $winnt$.inf
11.07.2005 16:35 2.951 CONFIG.NT
11.07.2005 16:35 16.832 amcompat.tlb
11.07.2005 16:35 23.392 nscompat.tlb
11.07.2005 16:35 488 logonui.exe.manifest
11.07.2005 16:35 488 WindowsLogon.manifest
11.07.2005 16:34 749 cdplayer.exe.manifest
11.07.2005 16:34 749 sapi.cpl.manifest
11.07.2005 16:34 749 nwc.cpl.manifest
11.07.2005 16:34 749 wuaucpl.cpl.manifest
11.07.2005 16:34 749 ncpa.cpl.manifest
11.07.2005 16:33 21.740 emptyregdb.dat
------------------------------------ C Platte neu aufgesetzt

03.06.2005 05:44 67.336 zlcommdb.dll
03.06.2005 05:44 75.528 zlcomm.dll
03.06.2005 05:43 100.096 vsxml.dll
03.06.2005 05:43 354.056 vsutil.dll
03.06.2005 05:43 71.432 vsregexp.dll
03.06.2005 05:43 198.408 vspubapi.dll
03.06.2005 05:43 108.296 vsmonapi.dll
03.06.2005 05:43 124.680 vsinit.dll
03.06.2005 05:42 279.656 vsdatant.sys
03.06.2005 05:42 75.528 vsdata.dll
03.06.2005 05:16 50.864 vsutil_loc0407.dll

Gigamail 13.07.2005 01:59
Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

upnpdrv

Klick 'OK'

warten, bis die Suche beendet ist. (gefundene Schlüssel löschen)

schau auf dem System ob die folgenden Dateien vorhanden sind

Verzeichnis C:\WINDOWS

C:\WINDOWS\update-sp2.html
C:\WINDOWS\update-sp5.html
C:\WINDOWS\t.bat


Verzeichnis C:\

C:\srhys.exe
C:\JHL.exe

--> boote in den abgesicherter Modus , deaktiviere die
Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken ) Anleitung
folgende Einträge:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINDOWS\System32\upnpdrv.exe

Einstellung zum Anzeigen aller Dateien:

Windows Explorer --> "Extras/Ordneroptionen" --> "Ansicht" --> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren --> "OK"

lösche von Hand oben genannte Dateien falls vorhanden und

C:\WINDOWS\web\related.htm
C:\WINDOWS\System32\upnpdrv.exe

Datenträgerbereinigung:

Windowstaste+R --> %temp% --> <enter>
Inhalt löschen
Windowstaste+R --> cleanmgr --> <enter>
Klick bei Temp
Klick bei Temporary Internet Files
Klick bei Papierkorb
Ok

neu booten neues HJT posten

HOPELESS.at 13.07.2005 09:08
Morgen!

Soda:

Zitat:
Gigamail
reinkopieren:

upnpdrv

Klick 'OK'

warten, bis die Suche beendet ist. (gefundene Schlüssel löschen)
Einziges Ergebnis:

Zitat:
RegSrch.vbs
Search completed in 26 seconds.

No instances of "C:\WINDOWS\System32\upnpdrv.exe" found
Zitat:
Gigamail
schau auf dem System ob die folgenden Dateien vorhanden sind

Verzeichnis C:\WINDOWS

C:\WINDOWS\update-sp2.html NEIN
C:\WINDOWS\update-sp5.html NEIN
C:\WINDOWS\t.bat


Verzeichnis C:\

C:\srhys.exe NEIN
C:\JHL.exe NEIN
Zitat:
Gigamail
--> boote in den abgesicherter Modus , deaktiviere die
Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken ) Anleitung
folgende Einträge:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe ---> nicht vorhanden (nur im abges. Modus)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINDOWS\System32\upnpdrv.exe
Logfile of HijackThis v1.99.1
Scan saved at 09:59:23, on 13.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\Skype\Phone\Skype.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\upnpdrv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Dokumente und Einstellungen\HOPELESS.at\Desktop\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE7E8799-4A0A-4481-9C60-5FC7908D58A7}: NameServer = 194.152.107.2,194.152.104.2
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINDOWS\System32\upnpdrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Gigamail 13.07.2005 09:36
Zitat:
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe ---> nicht vorhanden (nur im abges. Modus)
und was ist das im aktuellen Logfile?
Zitat:
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
lade dir eScan siehe meine Signatur lese auch gleich die Anleitung

schau unter Dienste ob es einen solchen gibt:
Universal Plug and Play device driver
Windowstaste+R -->services.msc --> <enter>
auf dem Dienst wenn vorhanden einen Doppelklick, unter Starttyp deaktivieren auswählen
Übernehmen --> OK

boote nochmal in den abgesicherten Modus und fixe folgende Einträge:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINDOWS\System32\upnpdrv.exe

lösche von Hand

C:\WINDOWS\t.bat --> wenn noch vorhanden
C:\WINDOWS\System32\upnpdrv.exe

scanne jetzt mit eScan halte dich genau an die Anleitung
Neu booten Ergebnis mitteilen

HOPELESS.at 13.07.2005 14:28
Zitat:
Gigamail
boote nochmal in den abgesicherten Modus und fixe folgende Einträge:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINDOWS\System32\upnpdrv.exe

lösche von Hand

C:\WINDOWS\t.bat --> wenn noch vorhanden
C:\WINDOWS\System32\upnpdrv.exe
Alles war nicht da!

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe

...wird im abgesicherten Modus nicht angezeigt

Hier das Ergebnis (habs aber manuell rauskopiert):


Wed Jul 13 143009 2005 = System found infected with Alexa SpywareAdware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken No Action Taken.
Wed Jul 13 150809 2005 = Total Disinfected Files 0
Wed Jul 13 143208 2005 = File CDokumente und EinstellungenHOPELESS.atDesktopzlsSetup_55_109_000.exe tagged as not-a-virusTool.Win32.Reboot. No Action Taken.
Wed Jul 13 145409 2005 = File DProgram FilesAltnetDownload Managerasm.exe tagged as not-a-virusAdWare.Altnet.l. Action Taken No Action Taken.
Wed Jul 13 145409 2005 = File DProgram FilesAltnetDownload Managerasmps.dll tagged as not-a-virusAdWare.Altnet.b. Action Taken No Action Taken.
Wed Jul 13 145453 2005 = File DProgrammeICQLiteUnwise32.exe tagged as not-a-virusTool.Win32.Reboot. No Action Taken.
Wed Jul 13 145509 2005 = File DProgrammeInstallgmx_toolbar.exe tagged as not-a-virusTool.Win32.Reboot. No Action Taken.
Wed Jul 13 145520 2005 = File DProgrammeInstallzlsSetup_55_109_000.exe tagged as not-a-virusTool.Win32.Reboot. No Action Taken.
Wed Jul 13 145954 2005 = File DProgrammeSierraCounter-StrikeUNWISE.EXE tagged as not-a-virusTool.Win32.Reboot. No Action Taken.
Wed Jul 13 150228 2005 = File DProgrammeValveSteamUnwise32.exe tagged as not-a-virusTool.Win32.Reboot. No Action Taken.
Wed Jul 13 150554 2005 = File DSystem Volume Information_restore{C4EF1212-9872-4D1C-A505-74C039C8C591}RP33A0006574.dll tagged as not-a-virusAdWare.Altnet.d. Action Taken No Action Taken.

Gigamail 13.07.2005 18:51
hast du diese Datei jetzt löschen können?
C:\WINDOWS\System32\upnpdrv.exe

war der beschriebene Dienst vorhanden und konntest du ihn deaktivieren?

fixe den Eintrag im normalen Modus
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe

Lade Dir Spybot-S&D und
Ad-Aware und update beide Programme.

deaktiviere die Systemwiederherstellung und boote in den abgesicherten Modus, lösche die gefundenen AltnetDateien

scanne nacheinander mit Ad-aware und Spybot und lösche alle Funde

neu booten und ein aktuelles HJT posten

HOPELESS.at 15.07.2005 15:44
Kann es sein dass er jetz weg ist?

cronos 15.07.2005 15:47
Keiner kann hier hellsehen.
Poste einen neuen HJT-Log.


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:50 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131