|
Hallo :koch: wie ihr euch sicher denken könnt, bekomm ich von antivir auch diese blöde meldung.... hab mir eure ratschläge auch schon durchgelesen, aber so ganz steige ich nicht durch :( ich würde mich freuen, wenn ihr mir helfen könntet! auf jeden fall danke schon im voraus!!! :party: was ich bisher gemacht habe: ich hab ein log file, ich hab escan laufen lassen ich weiß, dass ich gmt drauf habe. reicht es, wenn ich gmt lösche? ich denk mal nicht... wie bekomm ich das weg? hab ich übrigens alles online und nicht im abgesicherten modus gemacht... das log file hab ich vorher gemacht. wollt ihr es dennoch sehen? oder soll ich jetzt ein neues anfertigen? und noch was: wo kommt das ding her? oder wo könnte es herkommen? könnte es mit meinem router zu tun haben? danke!! |
Hallo bam, 1. Troj/Agent-AY ist ein Downloader Trojaner. 2. Teile uns das Ergebnis des eScan mit, wie folgt: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen" (Zitat Cidre) 3. Erstelle ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html SD |
Hi Leute! Weiß nich ob ich was zur Lösung mit dem Problem mit dem BDS Agent.AY beitragen kann, aber bis vor ca. 2 Wochen erschien der bei mir auch regelmäßig durch Warnungen von Antivir :( . Daraufhin habich dann mal meine Festplatte durchsucht, und den SAHAgent gefunden. Nachdem ich gelesen hab, dass das Spyware wär, habich dass manuell u.a. auch in WINDOWS/system32/ gelöscht. Und seitdem habich das Problem nicht mehr gehabt. :D Aber eigentlich sind das ja 2 unterschiedliche Agents!?! Bin ich so dumm und das war Zufall oder hab ich immer noch n Problem? Hab nurnoch das Problem dass unter "Software" der Agent immernoch aufgelistet ist und ich ihn da nicht rauskrieg :) Mfg Moskitoman :teufel3: |
jetzt schonmal danke! hier die infected files: File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\WINDOWS\wt\wtupdates\wtbgm\files\1.5.0.134\wtbgmtt.exe infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: No Action Taken. File C:\WINDOWS\wt\wtbgm\wtbgmtt.exe infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: No Action Taken. File C:\WINDOWS\iLookup\TTIL.exe infected by "not-a-virus:AdvWare.EZula.d" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\px\Desktop\px\riesenriemen\kalender\9307.exe infected by "not-a-virus:AdvWare.EZula.d" Virus. Action Taken: No Action Taken. File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll infected by "not-a-virus:AdvWare.Gain.6041" Virus. Action Taken: No Action Taken. File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\Programme\WildTangent\Apps\wtKernel0100.dll infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: No Action Taken. File C:\Programme\WildTangent\Components\SystemConfig0100.dll infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: No Action Taken. File C:\Programme\AVPersonal\INFECTED\TOCDLSTSF.EXE.VIR infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{B968024E-09C2-4CF2-BD7E-037080A4FBEA}\RP74\A0018820.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{B968024E-09C2-4CF2-BD7E-037080A4FBEA}\RP74\A0018822.exe infected by "not-a-virus:AdvWare.EZula.d" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{B968024E-09C2-4CF2-BD7E-037080A4FBEA}\RP74\A0018823.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{B968024E-09C2-4CF2-BD7E-037080A4FBEA}\RP74\A0018824.dll infected by "not-a-virus:AdvWare.Gain.6041" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{B968024E-09C2-4CF2-BD7E-037080A4FBEA}\RP74\A0018825.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{B968024E-09C2-4CF2-BD7E-037080A4FBEA}\RP74\A0018826.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{B968024E-09C2-4CF2-BD7E-037080A4FBEA}\RP74\A0018828.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{B968024E-09C2-4CF2-BD7E-037080A4FBEA}\RP74\A0018879.exe infected by "not-a-virus:AdvWare.EZula.d" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{B968024E-09C2-4CF2-BD7E-037080A4FBEA}\RP74\A0018880.exe infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{B968024E-09C2-4CF2-BD7E-037080A4FBEA}\RP74\A0018890.exe infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{B968024E-09C2-4CF2-BD7E-037080A4FBEA}\RP74\A0018957.dll infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{B968024E-09C2-4CF2-BD7E-037080A4FBEA}\RP74\A0018958.dll infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: No Action Taken. Logfile of HijackThis v1.98.2 Scan saved at 03:05:29, on 17.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\09nn Dialerwarner\w0svc.exe C:\WINDOWS\System32\alg.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\00THotkey.exe C:\WINDOWS\System32\TPWRTRAY.EXE C:\WINDOWS\System32\TFNF5.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVSCHED32.EXE C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe C:\Programme\09nn Dialerwarner\warn0190.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\CASIO\Photo Loader\Plauto.exe C:\WINDOWS\system32\monitorbk.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Adobe\Acrobat 5.0\Reader\AcroRd32.exe C:\Dokumente und Einstellungen\px\Desktop\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.riesenriemen.de/ O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE O4 - HKLM\..\Run: [TFNF5] TFNF5.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [WG511WLU] C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe O4 - HKLM\..\Run: [09nn Dialerwarner] C:\Programme\09nn Dialerwarner\warn0190.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [System Tray] C:\Dokumente und Einstellungen\px\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0YT4J83U\your_details.pif O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe O4 - Global Startup: Belkin PCMCIA WLAN Monitor.lnk = C:\WINDOWS\system32\monitorbk.exe O4 - Global Startup: VPN Dialer (OnStartup).lnk = ? O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - https://www.azubi.basf-ag.de/iNotes.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/bi.../GoogleNav.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab O16 - DPF: {D2296475-B79C-44A9-9B2C-32B5DC6B8B45} (PhotosCtrlDE Class) - http://de.photos.groups.yahoo.com/oc...lorer1_9de.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab und jetzt? |
zur erklärung vorab: riesenriemen ist meine homepage, also nicht auf falsche gedanken kommen :D aber ihr könnt ja auch mal vorbeischauen.... |
shadowman, ich habe weiter unten deine tipps gesehen. ich denke, das ding ist bei mir über outlook reingekommen, also über die vorschau. da bekomm ich immer einladungen zu diversen seiten! die letzte war milf.de... muss ich die auto-vorschau wirklich ausschalten? die ist ja schon praktisch.. vielen dank auf jeden fall!! |
Hallo mab... :D Platform: Windows XP (WinNT 5.01.2600)/ MSIE: Internet Explorer v6.00 (6.00.2600.0000) - lade Dir bitte das aktuelle Service Pack runter und update Deinen IE: www.windowsupdate.com. ! IE und BS UNBEDINGT aktualisieren! Scanne mit dem online-scan von Kaspersky folgende Dateien: C:\WINDOWS\System32\TFNF5.exe C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe C:\WINDOWS\system32\monitorbk.exe Teile uns das Ergebnis der Überprüfung mit und sende diese Dateien, wenn sie infiziert sind, an partytime-germany.ice@web.de, mit Verweis auf diesen Thread. Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This: O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKCU\..\Run: [System Tray] C:\Dokumente und Einstellungen\px\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0YT4J83U\your_details.pif O4 - Global Startup: VPN Dialer (OnStartup).lnk = ? O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsimilar.html O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - ht*ps://www.azubi.basf-ag.de/iNotes.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - ht*p://216.249.24.143/code/PWActiveXImgCtl.CAB Beende folgende Prozesse: CMESys.exe GMT.exe Lôsche (falls noch vorhanden): C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe Aktiviere die Systemwiederherstellung, boote in den normalen Modus. Der eScan hat auf Deinem System sehr viel Adware gefunden. Diese Einträge müssten eigentlich durch Spybot-Search & Destroy 1.3 entfernt werden können. Lade Dir das Programm runter, update es online, geh in den abgesicherten Modus, scanne Deinen Rechner, lass alle auftauchenden Probleme beheben. Einträge, die nun noch vorhanden sein sollten, findest Du, wenn Du folgendermassen vorgehst: bleib im abgesicherten Modus, deaktiviere die Systemwiederherstellung: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" Systemwiederherstellung nach Beendigung dieser Tätigkeiten aktivieren, in den normalen Modus booten. Lass uns wissen, ob Du's geschafft hast, alles zu löschen. Erstelle ein neues Hijack This Logfile und poste es. SD |
@ Moskitoman, ich hab mein Fernsehrohr verlegt. Ich kann von hier aus nicht in Deinen Compi schauen. Sei so lieb und poste ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html. Dann schauen wir uns Dein System gemeinsam an. SD |
SHADOWDANCE, hab alles wie befohlen ausgeführt. nun der neue log: Logfile of HijackThis v1.98.2 Scan saved at 05:21:22, on 17.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\09nn Dialerwarner\w0svc.exe C:\WINDOWS\System32\alg.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\00THotkey.exe C:\WINDOWS\System32\TPWRTRAY.EXE C:\WINDOWS\System32\TFNF5.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVSCHED32.EXE C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe C:\Programme\09nn Dialerwarner\warn0190.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\CASIO\Photo Loader\Plauto.exe C:\WINDOWS\system32\monitorbk.exe C:\Programme\Apoint2K\Apntex.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\px\Desktop\hijackthis1982\HijackThis.exe C:\WINDOWS\System32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.riesenriemen.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE O4 - HKLM\..\Run: [TFNF5] TFNF5.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min O4 - HKLM\..\Run: [WG511WLU] C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe O4 - HKLM\..\Run: [09nn Dialerwarner] C:\Programme\09nn Dialerwarner\warn0190.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe O4 - Global Startup: Belkin PCMCIA WLAN Monitor.lnk = C:\WINDOWS\system32\monitorbk.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097978908895 O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - hxxp://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - hxxp://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {D2296475-B79C-44A9-9B2C-32B5DC6B8B45} (PhotosCtrlDE Class) - hxxp://de.photos.groups.yahoo.com/ocx/de/yexplorer1_9de.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - hxxp://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - hxxp://messenger.zone.msn.com/binary/SolitaireShowdown.cab hat´s geklappt? vielen dank auf jeden fall!!! |
@ BAM hast Du die Einträge online überprüft? Was ist das Ergebnis? "C:\WINDOWS\system32\monitorbk.exe" - ist mir gänzlich unbekannt. Konntest Du die Einträge aus dem eScan-Log mit Spybot löschen? Einträge, die nun noch vorhanden sein sollten, findest Du, wenn Du folgendermassen vorgehst: bleib im abgesicherten Modus, deaktiviere die Systemwiederherstellung: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" Nach getaner Arbeit, Systemwiederherstellung aktivieren, in den normalen Modus booten. Versteckte Dateien findest Du mit: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren. Zu Deinem Logfile, kopiere es in die automatische Auswertung. Gelbe Fragezeichen weisen auf unbe/erkannte Prozesse hin. Ich denke, es ist ok. SD |
hallo shadowdance, die online-pröfung der dateien hab ich gemacht, nix auffälliges, auch die online überprüfung der log-file is in ordnung... bei der suche der infizierten dateien hab ich wieder eine gefunden und gelöscht. die datei CMESys.exe finde ich noch in windows/prefex als pf-datei. soll die da raus? wie lade ich denn einen neuen ie runter :( ansonsten müsste alles ok sein.. danke |
Hast du das was von eScan gefunden wurde, manuell gelöscht? Den aktuellen IE bekommst du hier: http://www.microsoft.com/downloads/d...displaylang=de Es gibt aber auch sichere Browser: www.firefox-browser.de ist kostenlos und sicher. www.mozilla.kairo.at www.opera.com |
hallo christian, auch dir ein dankeschön! die sachen, die escan fand, hab ich gelöscht. müsste doch jetzt eig ok sein.. |
Hallo ihr! Auch ich habe mir dieses backdoor program eingefangen :heulen: Hier ist mein Hjack logfile, ich hoffe ihr könnt mir helfen... mfG Miyu Logfile of HijackThis v1.97.7 Scan saved at 14:44:41, on 20.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe F:\PUZZLE~1\bin\jusched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\PrecisionTime\PrecisionTime.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\RealVNC\VNC4\WinVNC4.exe C:\Gamers.IRC\mirc.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\teamspeak2_RC2\TeamSpeak.exe C:\Programme\Mozilla Firefox\firefox.exe H:\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*hxxp://www.yahoo.com/search/ie.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*hxxp://www.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*hxxp://www.yahoo.com O2 - BHO: (no name) - {A903BF95-883E-4E70-AEC8-6C27CDC0A6B2} - C:\WINDOWS\System32\ioeeved.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\PUZZLE~1\bin\jusched.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ 4.1 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - hxxp://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - hxxp://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_41.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - hxxp://207.188.7.150/081283eac605de811d05/netzip/RdxIE601_de.cab O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - hxxp://www.wow-europe.com/signup/de/wowbeta/Si.cab O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - hxxp://eq2beta.station.sony.com/beta_reg/soesysinfo.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - hxxp://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - hxxp://www2.incredimail.com/contents/setup/downloader/imloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7EC77DDF-05C2-447D-92A9-DB26609CEFA5}: NameServer = 192.168.0.1 |
Hallo Miyu, Logfile of HijackThis v1.97.7 ist veraltet. Verwende bitte v1.98.2: http://www.trojaner-board.de/51130-a...ijackthis.html. Erstelle damit ein neues Hijack This Logfile und poste es. SD |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board