|
erstmal hallo! Tag ihr lieben! Bin auf die Seite gestoßen wie wohl viele andere auch, google-eingabe des Mists auf dem Bildschirm und schwupp, da simmer! Hatte (habe noch?) WareOut auf dem Win2k Rechner und bin mal im Forum stöbern gewesen. Da wurde dann von allerlei geschrieben von wegen logs posten und so - für mich leider alles Chinesisch. Habe dann auf eurer Seite Spysweep Test gesehen und runtergeladen, laufen lassen und siehe da, bis jetzt keine meldungen mehr. SpSw hat auch noch andere Sachen, unter anderem PS Guard, gefunden und angeblich ausgemerzt (PS war noch nicht in Erscheinung getreten). Dann hab ich mir noch Das Service Pack 1-3 von Microsoft gezogen (4+Updates sollen später folgen) und installiert. Hatte vorher schon Antivir und Zonealarm installiert, haben aber Wareout nicht verhindert. Was hilft gegen den Mist, auch wenn mann es kaufen muss? Was kann man noch tun um den Rechner zu verbarrikadieren? Ist Das Zeug mit Spysweep wirklich runter? DAs sind erstmal ´ne Menge Fragen, sorry. Dann bis später! |
Es hätte gereicht, sich Service Pack 4 zu installieren, da sind die drei Vorgänger schon mit enthalten.;) Poste mal einen HijackThis-Logfile , damit wir mal einen Überblick bekommen. |
Danke fürs Lesen, weiter gehts! Hab das mit dem antworten zwar schon mal versucht, dann wars aber irgendwie weg. Also, nochmal das ganze: Habe das mit SP4 auch versucht, aber beim installieren kam die meldung wbemtest.exe wird nicht gefunden, pfadnamen neu eingeben o.ä. Habe dann das nächst-kleinere installiert und das ging. Auch die Hijack prozedur habe ich, soweit ich das nachvollziehen konnte ausgeführt. Dabei kam das raus: Logfile of HijackThis v1.99.1 Scan saved at 17:53:05, on 06.08.2005 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\System32\internat.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinZip\WINZIP32.EXE C:\Dokumente und Einstellungen\Administrator.+++++-PC\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local> R3 - URLSearchHook: (no name) - {286AD7B1-5AEE-E220-D86C-53B63A3A7244} - dialer423.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [killall] StartCpl.exe O4 - HKLM\..\Run: [install2] sysmon12.exe O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [ftbar] mozilla-text.exe O4 - HKCU\..\Run: [keybdll] 34763.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O17 - HKLM\System\CCS\Services\Tcpip\..\{1284DC0D-5B6E-4986-9768-3268EAC44789}: NameServer = 69.50.176.158,85.255.112.8 O17 - HKLM\System\CS1\Services\Tcpip\..\{1284DC0D-5B6E-4986-9768-3268EAC44789}: NameServer = 69.50.176.158,85.255.112.8 O17 - HKLM\System\CS2\Services\Tcpip\..\{1284DC0D-5B6E-4986-9768-3268EAC44789}: NameServer = 69.50.176.158,85.255.112.8 O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe Wär ich doch bloß Mac-User geblieben Ach ja, habe, getreu den Aussagen eines Bekannten mal xp clean wischen lassen, zumindest wo man nichts kaputtmachen konnte. Konnte dann eben nicht direkt ins Netz, IE hat den server nicht gefunden. Aber über t-online gings dann. Hat XP clean da was kaputt gemacht? Vielen Dank im voraus, Gruß ins Siegerland |
Mache einen escan genau nach anleitung und poste das mit der find.bat erzeugte Log. http://www.trojaner-board.de/showthread.php?t=17492 |
Mahlzeit! - Zurück vom escan Grüß Euch, Ihr Götter der Bits und Bytes, Hab die Prozedur durchlaufen und das kam dabei raus: Escan hat einen Virus/Schnüffler gefunden: Alexa, der ist aber soviel ich weiss von Microsucks und nicht wegzukriegen. Desweiteren noch einige einträge die auf irgendwas verweisen. Schicke euch mal den Auszug: Sat Aug 06 17:10:14 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken. Sat Aug 06 17:20:55 2005 => ***** Scanning Registry for errors created because of Adware/Spyware ***** Sat Aug 06 17:20:55 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINNT\Downloaded Program Files\AdToolsX.dll". Action Taken: No Action Taken. Sat Aug 06 17:20:59 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\0700\Intel32\ctor.dll". Action Taken: No Action Taken. Sat Aug 06 17:21:00 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\ctor.dll". Action Taken: No Action Taken. Sat Aug 06 17:21:01 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe" refers to invalid object "C:\Dokumente und Einstellungen\Administrator.HAFNER-PC\Lokale Einstellungen\Temp\hijackthis.exe". Action Taken: No Action Taken. Sat Aug 06 17:21:02 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".". Action Taken: No Action Taken. Sat Aug 06 17:21:02 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/Film_Noir". Action Taken: No Action Taken. Sat Aug 06 17:21:02 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".net/de/cgi/msgpart/Basketballturnier%5Fdes%5FTV%5FBitburg%2Edoc?LANG=de&MSGNO=6%2D4b867ef12f455bb9ff83592ba31c2f11&m=44730363%2E1124095863&PARTNO=2&PARTFILE=Basketballtu rnier%5Fdes%5FTV%5FBitburg%2E". Action Taken: No Action Taken. Sat Aug 06 17:21:06 2005 => Entry "HKCR\CLSID\{286AD7B1-5AEE-E220-D86C-53B63A3A7244}" refers to invalid object "dialer423.dll". Action Taken: No Action Taken. Sat Aug 06 17:21:08 2005 => Entry "HKCR\CLSID\{44EC053A-400F-11D0-9DCD-00A0C90391D3}" refers to invalid object "C:\Programme\FRITZ!\Atl.dll". Action Taken: No Action Taken. Sat Aug 06 17:21:15 2005 => Entry "HKCR\CLSID\{9EFBF860-5685-11D3-AA3D-00C04F4C5275}" refers to invalid object "cdooff.dll". Action Taken: No Action Taken. Sat Aug 06 17:21:21 2005 => Entry "HKCR\CLSID\{EEC6993A-B3FD-11D2-A916-00C04FB98638}" refers to invalid object "pid.dll". Action Taken: No Action Taken. Sat Aug 06 17:21:24 2005 => Entry "HKCR\TypeLib\{44EC0535-400F-11D0-9DCD-00A0C90391D3}" refers to invalid object "C:\Programme\FRITZ!\Atl.dll". Action Taken: No Action Taken. Sat Aug 06 17:21:27 2005 => Entry "HKCR\.pot" refers to invalid object "Powerpoint.Template". Action Taken: No Action Taken. Sat Aug 06 17:21:27 2005 => Entry "HKCR\.ppt" refers to invalid object "Powerpoint.Show.7". Action Taken: No Action Taken. Sat Aug 06 17:21:27 2005 => Entry "HKCR\.sll" refers to invalid object "SSLFile". Action Taken: No Action Taken. Sat Aug 06 17:21:34 2005 => Entry "HKCR\MailFileAtt" refers to invalid object "{00020D05-0000-0000-C000-000000000046}". Action Taken: No Action Taken. Sat Aug 06 17:21:34 2005 => Entry "HKCR\mapifvbx.object" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken. Sat Aug 06 17:21:34 2005 => Entry "HKCR\mapifvbx.object.1" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken. Sat Aug 06 17:21:40 2005 => Entry "HKCR\Ulead.VOE.1" refers to invalid object "{6C91BBFD-0781-4936-A3DC-10D60BA3294D} ". Action Taken: No Action Taken. Hoffe das hilft oder alles ist halb so wild, Rechner läuft derzeit gut. Werde mal die Tipps aus dem Malware Artikel befolgen. Bis später Gruß Coach |
Lese Dir die Anleitung zum escan nochmals genau durch. Besonders den Abschnitt zur Datei find.bat. |
Nach find.bat So, das ist auch geschafft, hier das ergebnis: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Sat Aug 06 17:10:14 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken. Sat Aug 06 17:47:11 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Sat Aug 06 17:43:43 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Sat Aug 06 17:43:43 2005 => Total Virus(es) Found: 1 Sat Aug 06 17:43:43 2005 => Total Errors: 26 Sat Aug 06 17:43:43 2005 => Time Elapsed: 01:35:08 Sat Aug 06 17:43:43 2005 => Total Objects Scanned: 36577 Sat Aug 06 17:07:40 2005 => Virus Database Date: 2005/08/26 Sat Aug 06 17:43:43 2005 => Virus Database Date: 2005/08/26 Sat Aug 06 17:45:25 2005 => Virus Database Date: 2005/08/26 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ Hoffe das hilft weiter. Danke für Eure Geduld! Gruß Coach |
Lade und update Ad-aware und Spybot und lasse die Programme laufen. http://www.comsafe.de/download.html Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken. http://www.clearprog.de/ Dann noch mal ein neues HJT-Log. |
Adaware erhängt sich! Moinsen, Habe die 3 Programme runtergeladen und laufen lassen, zumindest Spybot und Clearprog liefen. Spybot hat was gefunden und gelöscht und auch clearprog hat geunden und gelöscht. (Ist doch im Prinzip sowas wie XP Clean - oder?) Adaware hab ich gezogen, installiert und laufen lassen, klappte ganz gut (incl. Update saugen) bis zum Punkt checking for possible Hijacking Attempts, dann hängt sich die ganze kiste auf. Kurz zuvor werden immer 2 kritische Objekte gefunden, Verzeichnis ist irgendwas, was ich (Ohne Ahnung und Gewähr) als Hkey local machine... entziffern würde. Der Suchprozess geht dann irgendwie nicht weiter und beim Klick auf Abbrechen kommt die Meldung: "Das Programm reagiert nicht...". Hab das Programm nach mehreren Versuchen gelöscht, nochmal runtergeladen, wieder dasselbe, immer ähnliche Anzahl der Datensätze durchsucht (24100 und ein paar gequetschte), dann ist Essig. Habe dann nochmal gelöscht und von woanders geladen, nochmal laufen lassen - selbes Ergebnis. Habe dann Antivir und Spybot abgeschaltet, vielleicht behindern sich die ganzen Helferlein gegenseitig, wieder Sch... . Vielleicht Festplatte Fratze? Rechner lässt sich auch nur wiederwillig einschalten und hochfahren, klappt vielleicht bei jedem 10. Mal. Ist ein altes Hündchen (Pentium 300), dass ich von einem Kumpel im Tausch gegen einen alten Power MAC bekommen hab. wie eghts weiter? Grüsse Coach |
Hallo, die meisten Registryeinträge wirst du per hand löschen müssen. Da findet selbst Spybot nicht so viel. Ist nervig, ist aber so. (auch der escanceck kann die arbeit nicht abnhemen) Also per Hand suchen und löschen. Warum Ad-Aware bei dir abstürzt weis ich leider auch nicht. Mhh du hast den Spy Sweeper drauf wie ich sehe. Der ergänzt ja Spybot eigentlich ganz gut....*grübel* gut tut jetzt nichts zur Sache. Spybot löscht ja den Alexa schonmal von selbst. Vielleicht solltest du bei Spybot auch mal in den Einstellungen auf Fortgeschritten herumprobieren und auch das Systemaufräumen mal austesten. Aber...bitte nichts unüberlegt löschen. Ich weis wovon ich spreche :D Donni |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:45 Uhr. |
Copyright ©2000-2025, Trojaner-Board