Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   win32.alcan.a_win32.agent.bq_Taskm_defekt--HILFE! (https://www.trojaner-board.de/22986-win32-alcan-a_win32-agent-bq_taskm_defekt-hilfe.html)

shad 24.10.2005 20:27
so...ich habe also mit Killbox die Dateien, die Escan anzeigte, beseitigt.
Dann habe ich EScan aktualisiert und im abgesicherten erneut suchen lassen, nachdem ich das alte Logfile von EScan gelöscht habe.

Hier ist was bei raus kam. Was sollte ich nun tun? Hilfe...der Schrecken muß ein Ende haben :(
ESCAN:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Oct 24 18:12:10 2005 => System found infected with kazaa Spyware/Adware ({66fc8717-efa7-4546-8c4a-e224f3a80c76})! Action taken: No Action Taken.
Mon Oct 24 18:12:13 2005 => System found infected with abetterinternet Spyware/Adware (alchem.ini)! Action taken: No Action Taken.
Mon Oct 24 18:12:21 2005 => System found infected with rapidblaster Spyware/Adware (install.html)! Action taken: No Action Taken.
Mon Oct 24 18:12:24 2005 => System found infected with hotbar Spyware/Adware (wbemess.lo_)! Action taken: No Action Taken.
Mon Oct 24 18:12:26 2005 => System found infected with rapidblaster Spyware/Adware (install.html)! Action taken: No Action Taken.
Mon Oct 24 20:52:07 2005 => Scanning Folder: D:\Programme\AntiVir_personal_funktnicht\INFECTED\*.*
Mon Oct 24 20:52:13 2005 => Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.*
Mon Oct 24 21:03:34 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Oct 24 18:12:12 2005 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\limewire !!!
Mon Oct 24 18:12:12 2005 => Offending Key found: HKLM\Software\magnet\handlers\limewire !!!
Mon Oct 24 18:12:12 2005 => Offending Key found: HKLM\Software\limewire !!!
Mon Oct 24 18:12:12 2005 => Offending Key found: HKCU\Software\kazaa !!!
Mon Oct 24 18:12:13 2005 => Offending file found: C:\WINDOWS\alchem.ini
Mon Oct 24 18:12:15 2005 => Offending Folder found: C:\Programme\powerstrip
Mon Oct 24 18:12:16 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Shad\Anwendungsdaten\macromedia\dreamweaver mx 2004\configuration\toolbars\mm
Mon Oct 24 18:12:18 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Shad\Eigene Dateien\ea games\die sims 2\music\cas
Mon Oct 24 18:12:21 2005 => Offending file found: C:\Dokumente und Einstellungen\Shad\Eigene Dateien\virginias\guestbook\install.html
Mon Oct 24 18:12:21 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Shad\Startmenü\programme\limewire
Mon Oct 24 18:12:21 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Shad\Startmenü\Programme\limewire
Mon Oct 24 18:12:24 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spybot - search & destroy\backups\wbemess.lo_
Mon Oct 24 18:12:26 2005 => Offending Folder found: C:\Dokumente und Einstellungen\Shad\Eigene Dateien\ea games\die sims 2\music\cas
Mon Oct 24 18:12:26 2005 => Offending file found: C:\Dokumente und Einstellungen\Shad\Eigene Dateien\virginias\guestbook\install.html...WAS BEDEUTET DAS HIER EIGENTLICH?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Oct 24 21:03:34 2005 => Total Virus(es) Found: 15
Mon Oct 24 21:03:34 2005 => Total Errors: 410
Mon Oct 24 21:03:34 2005 => Time Elapsed: 02:51:32
Mon Oct 24 21:03:34 2005 => Total Objects Scanned: 156013
Mon Oct 24 21:03:34 2005 => Virus Database Date: 2005/10/24
Mon Oct 24 21:12:26 2005 => Virus Database Date: 2005/10/24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Und nochmal HJT:

Logfile of HijackThis v1.99.1
Scan saved at 21:18:31, on 24.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Logi_MwX.Exe
C:\WINDOWS\Logi_MwX.Exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Programme\FireFox\firefox.exe
D:\Downloads_2\AntiViren\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://196.162.1.1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = w*w.freenet.de
O4 - HKLM\..\Run: [Memory Check] Logi_MwX.Exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU\..\Run: [SoniqueQuickStart] C:\Musik\Sonique\sqstart.exe -nostick
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Sitecom USB Wireless LAN Utility.lnk = C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://w*w.bitdefender.com/scan8/oscan8.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Expert 24.10.2005 23:17
hey

#Versuch mal unter Start/Ausführen,ob folgende Bfehle funktionieren cmd und regedit
#PC neustarten--> abgesicherter Modus
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
Loesche:Falls vorhanden
C:\WINDOWS\system32\winlog.exe
C:\Programme\winsupdater

#PC neustarten--> abgesicherter Modus
1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor
2. copiere diser Code rein:
Code:
@ECHO OFF
attrib -s -r -h %windir%\system32\bszip.dll
attrib -s -r -h %windir%\system32\CMD.COM
attrib -s -r -h %windir%\system32\netstat.com
attrib -s -r -h %windir%\system32\ping.com
attrib -s -r -h %windir%\system32\regedit.com
attrib -s -r -h %windir%\system32\tasklist.com
attrib -s -r -h %windir%\system32\taskkill.com
attrib -s -r -h %windir%\system32\tracert.com
del %windir%\system32\bszip.dll
del %windir%\system32\CMD.COM
del %windir%\system32\netstat.com
del %windir%\system32\ping.com
del %windir%\system32\regedit.com
del %windir%\system32\tasklist.com
del %windir%\system32\taskkill.com
del %windir%\system32\tracert.com
pause
3. Speichere die Datei als Fix.bat auf Desktop
4. Doppel klick auf diese Datei Fix.bat

#PC neustarten
#Lade dir Ewido Security Suite unbeding Update,noch nicht scannen.

#lade Adaware, Spybot unbeding Update,noch nicht scannen.

#PC neustarten--> abgesicherter Modus
#Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

#Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen.

#Inhalt folgende ordner loeschen:
C:\Dokumente und Einstellungen\<Username>\Lokale Einstellungen\Temp---> Inhalt löschen
C:\Dokumente und Einstellungen\<Username>\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
C:\WINDOWS\temp---> Inhalt löschen

#PC neustarten
#Neue HijackThis Log & den Report des Ewido Scans posten

Gruss
Expert

shad 25.10.2005 11:18
ok, werd ich machen - auch wenn ich nicht genau weiß wozu=)

Die Datei C/Windows/System32/Winlog.exe gibt es bei mir nicht...aber eine winlogon.exe. Sollte ich die auch löschen?

Expert 25.10.2005 11:37
Zitat:
Zitat von shad
ok, werd ich machen - auch wenn ich nicht genau weiß wozu=)

Die Datei C/Windows/System32/Winlog.exe gibt es bei mir nicht...aber eine winlogon.exe. Sollte ich die auch löschen?
Auf keinen falls die Datei C/Windows/System32/Winlogon loeschen (Legitime Datei)

Gruss
Expert

Expert 25.10.2005 11:46
hey

Zitat:
#Versuch mal unter Start/Ausführen,ob folgende Bfehle funktionieren cmd und regedit
Beide funktionieren?

Gruss
Expert

shad 25.10.2005 11:51
ZWISCHENSTAND:

-cmd und regedit funktionieren.
-winsupdater wurde gelöscht
-die selbst erstellte fix.bat hat nicht gefunden und gelöscht

Im Voraus auch Dank an Experte

Expert 25.10.2005 12:03
hey

hast du noch Probleme?

Gruss
expert

shad 25.10.2005 12:32
Zitat:
Zitat von Expert
hey

hast du noch Probleme?
Vll. könntest du mir das sagen, nachdem ich die Logfile von HJT und Ewido gepostet habe??? Oder meinst, dass jetzt alles gut aussieht?

Expert 25.10.2005 13:09
@shad

Am besten posten

Gruss
Expert

shad 25.10.2005 13:40
Hier die Logfiles / Reports...und wie siehts aus!?!


Logfile of HijackThis v1.99.1
Scan saved at 14:32:55, on 25.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Downloads_2\AntiViren\Ewido\security suite\ewidoctrl.exe
D:\Downloads_2\AntiViren\Ewido\security suite\ewidoguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Logi_MwX.Exe
C:\WINDOWS\Logi_MwX.Exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Downloads_2\AntiViren\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://196.162.1.1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = w*w.freenet.de
O4 - HKLM\..\Run: [Memory Check] Logi_MwX.Exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU\..\Run: [SoniqueQuickStart] C:\Musik\Sonique\sqstart.exe -nostick
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Sitecom USB Wireless LAN Utility.lnk = C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - D:\Downloads_2\AntiViren\Ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - D:\Downloads_2\AntiViren\Ewido\security suite\ewidoguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 14:00:15, 25.10.2005
+ Report-Checksumme: CD13F736

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{00AF6BF7-1C8A-2F68-11A6-3DD4FD5A3DED} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{38D4E2FB-BB30-60CB-0D77-12064B5A0EE4} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{81A4261C-171F-77DC-FD21-B540588D285C} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{A45C982E-5E8A-94C9-33A0-1F6E1789AC7E} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{BC7CDD90-0B77-5C0F-AD1F-789795AD1AC3} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{C9708EE9-2213-493f-B7B1-C7DE7FADB688}\\AppID -> Spyware.HotBar : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{C9708EE9-2213-493f-B7B1-C7DE7FADB688}\TypeLib\\ -> Spyware.HotBar : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{81481291-AFAF-11D1-8F8A-E8CB12000000}\TypeLib\\ -> Spyware.CometCursor : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{B65AD801-ABAF-11D0-BB8B-00A0C90F2744}\TypeLib\\ -> Spyware.HotBar : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Shad\Cookies\shad@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\WINDOWS\fsdginst.log:pihum -> TrojanDownloader.WinShow.ak : Gesäubert mit Backup
C:\WINDOWS\FSSYSUPD.LOG:uwocw -> TrojanDownloader.Agent.bq : Gesäubert mit Backup
C:\WINDOWS\fwinst.log:mxghy -> TrojanDownloader.Agent.bq : Gesäubert mit Backup
C:\WINDOWS\iccsigs.dat:stfxl -> TrojanDownloader.WinShow.ak : Gesäubert mit Backup
C:\WINDOWS\Rtcw.INI:cxqqq -> TrojanDownloader.Agent.bq : Gesäubert mit Backup
C:\WINDOWS\Sof2.INI:jvxus -> TrojanDownloader.Agent.bq : Gesäubert mit Backup


::Report Ende

shad 25.10.2005 13:48
noch eine kl. Frage:
ist es sinnvoll AntiVirGuard UND Ewido parallel im Hintergrund laufen zu lassen?

shad 25.10.2005 18:20
Habe schon Antwort erhalten. Ist alles wieder gut. Vielen Dank nochmal an das Forum und alle mich so hilfsbereit unterstützt haben!!! :)

Expert 25.10.2005 18:33
hey

Alles soll ok sein!
EWIDO kannst du wieder deinstallieren(Test Version)

Gruss
Expert


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:30 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131