|
Antivir findet Backdoor BDS/Agent.AY Hallo zusammen, ich erhalte seit ca. 2-3 Tagen durch Antivir Meldungen zu oben genannter Backdoor. Ich lösche die entsprechenden Dateien immer, anschließend findet der Viren-Scanner nichts mehr. Spätestens am nächsten Tag erhalte ich jedoch wieder eine Meldung. Da ich derzeit meine Diplom-Arbeit schreibe und kurz vor der Abgabe stehe, möchte ich ungern aufgrund des Zeitverlustes das System komplett neuaufsetzten. Meine Frage ist nun, kann die Backdoor (über die ich leider im Internet und nicht einmal bei Antivir selbst etwas finden konnte) Schaden anrichten? Ich wähle mich nicht direkt ins Internet ein, sondern gehe aufgrund einer geteilten DSL-Flat-Verbindung über einen Linux-Router ins Internet. Ich vermute, dass sich die Backdoor versucht bei mir einzuklinken, da das System nach dem Löschen der Dateien ja als sauber angezeigt wird. Kommen die Antivir-Meldungen nur zum Zeitpunkt des "Angriffs"? Die entsprechenden befallenen Dateien befinden sich immer in demselben Ordner (in den gemeinsamen Dateien). Die gelöschten Dateien sind exe-files. In den beiden betroffenen Ordnern verbleiben eine LPF und eine BBR Datei. Hilft es die entsprechenden Ordner zu löschen - und darf ich diese Ordner löschen oder sind die wichtig fürs System? Ich hoffe Ihr könnt mir weiterhelfen, Eure verzweifelte Katinka |
Hi Katinka, wie heisst der Ordner genau? Erstelle ein Log mit HJT und poste es: http://www.trojaner-board.de/51130-a...ijackthis.html Besorge dir E-Scan, update es und lass es im abgesicherten Modus laufen wie beschrieben: http://www.trojaner-board.de/42731-escan-anleitung.html |
Hallo Mountainking, vielen Dank für die schnelle Antwort, der Ordner/Pfad heißt: C:\Programme\Gemeinsame Dateien\clanejlp Darin befinden sich zwei Unterordner: 1. crtrbhhfdl mit der Datei anrlrrllnb.lrf 2. ejlrppcb mit der Datei pbrnrjlhp.bbr Kann ich die empfohlenen Scans trotz istallierter Antivir-Version laufen lassen oder behindern die sich gegenseitig? (Ich hab mir schon mal ein System zerschossen, weil ich einen Virenscanner installiert habe und noch Signaturen einer zuvor installierten Testversion eines anderen Programms vorhanden waren....) Antivir zeigt mein System gerade wieder mal als Virenfrei an - fragt sich nur wie lange. Sind die empfohlenen Programme effektiver? Oder muss ich warten, bis ich das nächste mal eine entsprechende Warnung bekomme? Katinka |
Nein, die Programme kannst du ohne Bedenken verwenden, Hijackthis ist kein virenscanner, sondern analysiert das System, durch das Log bekommt man einiges heraus, da ich ja auch nicht an deinem Rechner sitze, brauche ich jede Information. :) E-Scan ist zwar ein Virenscanner, der wird aber nicht installiert und hat keinen Hintergrundwächter, beißt sich daher auch nicht mit Antivir. Du musst es nur wie beschrieben in diesen Ordner c:\bases entpacken, damit du updaten kannst und dann im abgesicherten Modus durchlaufen lassen. E-Scan verwendet die Engine und Virensignaturen von Kaspersky, das ist eigentlich einer der besten Virenscanner (systembedingte Schwächen haben sie alle). Der Ordner sieht wie ein zufällig erstellter aus, mir gefällt das alles nicht so richtig, eventuell hat ja schon jemand Zugriff auf deinen PC, ich weiss ja auch nicht, wie euer Router konfiguriert ist, eigentlich sollte das da schon erschwert sein. Naja, mach einfach mal die beiden Sachen, dann sehen wir weiter. |
So, jetzt geht´s weiter ... (musst zwischendrin kurz in die Uni) 1. Kurze Frage vorab: welche Angaben benötigst Du aus der Log-Datei von E-Scan? Muss ich alle Einträge inklusive der Auflistung der gescannten Dateien hier einstellen? Oder reichen die folgenden Daten: *** Wed Sep 08 14:24:07 2004 => Total Number of Files Scanned: 67459 Wed Sep 08 14:24:07 2004 => Total Number of Virus(es) Found: 24 Wed Sep 08 14:24:07 2004 => Total Number of Disinfected Files: 0 Wed Sep 08 14:24:07 2004 => Total Number of Files Renamed: 7 Wed Sep 08 14:24:07 2004 => Total Number of Deleted Files: 1 Wed Sep 08 14:24:07 2004 => Total Number of Errors: 11 Wed Sep 08 14:24:07 2004 => Time Elapsed: 01:35:23 Wed Sep 08 14:24:07 2004 => Virus Database Date: 2004/09/08 Wed Sep 08 14:24:07 2004 => Virus Database Count: 103474 Wed Sep 08 14:24:07 2004 => Scan Completed. *** Oder benötigst Du auch die Auflistung der auffälligen Dateien? 2. Hier die vollständige Log-Datei von Hijackthis: Logfile of HijackThis v1.98.2 Scan saved at 11:55:20, on 08.09.2004 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe D:\Antivir\AVGUARD.EXE D:\Antivir\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\GEARSEC.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\Programme\iTunes\iTunesHelper.exe D:\Antivir\AVGNT.EXE C:\Programme\iPod\bin\iPodService.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Administrator\Desktop\Backdoor\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.autounique.de/clix/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\acrobat reader\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] "D:\Antivir\AVGNT.EXE" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: NewShortcut4.lnk = C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - hxxp://www.academynow.com/_courses/bitmedia/webplayer/awswax.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A3840A4D-6C29-4ACF-99C4-453AE6DE5F67}: NameServer = 192.168.0.32 O17 - HKLM\System\CCS\Services\Tcpip\..\{E698C880-40E9-46F7-8CC4-FE069EF90106}: NameServer = 145.253.2.11,145.253.2.75 Gruß Katinka |
Nein, du musst nicht alles aufzählen, neben der von dir geposteten Statistik brauche ich aber unbedingt noch die Namen Schädlinge, die in den 24 Dateien entdeckt wurden. Also in erster Linie nicht die Namen der Dateien sondern den des Schädlings (Virus X wurde in Datei Y gefunden, ich brauche X), oder gleich beides. Wobei mir es nicht gefällt, das er von 24 Datein nur 7 umbenannt und 2 gelöscht hat. GetRight enthält Adware, nämlich Gator, wenn du die Einträge fixst, kann es sein, dass GetRight nicht mehr geht (aber ich glaube, das ging trotzdem noch), Leechget wäre eine bessere Alternative. Beende die prozesse mit dem Taskmanager: GMT.exe CMESys.exe Fixe mit HJT (Häkchen und fix checked): C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: SEARCH_PAGE_URL= Umtieg auf sichereren Browser wie firefox, Mozilla oder opera empfehle ich schon mal präventiv. |
Ich hab auf einer meiner Festplatten eine Sicherung von Teilen meines alten Systems. Die darin enthaltenen Programme sind also gar nicht wirklich installiert. Getright z.B. ist auch ein Überbleibsel meines alten Systems. Zu den verwendeten Browsern: ich nutze schon seit Jahren keinen IE mehr, meine Standardbrowser sind Opera und Mozilla Firefox. Den IE nutze ich nur in ganz seltenen Fällen, wenn Seiten sich anders nicht vernünftig darstellen lassen. Hier nun also die Liste der Viren und der erfolgten oder nichterfolgten Aktionen: (Die in der folgenden Auflistung kursiv gesetzten Einträge stammen aus dem Sicherungsbereich) vncviewer.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.333. No Action Taken. Opera\Mail\storage\mbox51.mbs tagged as not-a-virus:RiskWare.Downloader.Casino. No Action Taken. Opera\Mail\storage\mbox56.mbs tagged as not-a-virus:RiskWare.Downloader.Casino. No Action Taken. Opera\Mail\storage\mbox60.mbs tagged as not-a-virus:RiskWare.Downloader.Casino. No Action Taken. Opera\Mail\storage\mbox65.mbs tagged as not-a-virus:RiskWare.Downloader.Casino. No Action Taken. Sicherung\Tools, Programme, Treiber\Browser\Opera 402\opera & getright\getrt42c.exe infected by "not-a-virus:AdvWare.Aureate" Virus. Action Taken: File Renamed. Sicherung\Tools, Programme, Treiber\Browser\Opera 402\opera & getright\op2gr120.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sicherung\MS-Office\THUMBS3\CRACK-IT.EXE tagged as not-a-virus:LogoPicture.PH13. No Action Taken. Sicherung\Tools, Programme, Treiber\MS-Office\THUMBS3\DONOTRUN.EXE tagged as not-a-virus:LogoPicture.PH13. No Action Taken. Sicherung\Tools, Programme, Treiber\napster & co\napv2b9-6.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sicherung\Tools, Programme, Treiber\napster & co\AGSetup0606.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sicherung\Tools, Programme, Treiber\Wartung\TuneUp\TUSetup710.zip..zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sicherung\Tools, Programme, Treiber\Wartung\Tune up 97\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. \Sicherung\WINDOWS\Programme\WildTangent\Components\SystemConfig0100.dll infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: File Renamed. Sicherung\WINDOWS\Programme\WildTangent\Apps\wtKernel0100.dll infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: File Renamed. Sicherung\WINDOWS\Program Files\onflow\uninstall onflow.exe infected by "not-a-virus:AdvWare.OnFlow" Virus. Action Taken: File Renamed. Sicherung\WINDOWS\WINDOWS\sp.dll infected by "Trojan.WinREG.StartPage" Virus. Action Taken: File Deleted. Sicherung\WINDOWS\WINDOWS\wt\wtbgm\wtbgmtt.exe infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: File Renamed. Sicherung\WINDOWS\WINDOWS\wt\wtupdates\wtbgm\files\1.5.0.134\wtbgmtt.exe infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: File Renamed. Sicherung\WINDOWS\WINDOWS\TEMP\TNT.Fine.Reader.5.0.pro.PATCH.exe tagged as not-a-virus:FalseAlarm.DrWeb.Backdoor.Theef.111. No Action Taken. Sicherung\WINDOWS\WINDOWS\TEMP\cd_Install_2022.exe infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: File Renamed. Sicherung\WINDOWS\WINDOWS\TEMP\TNT-Fine.Reader.5.0.293_CRK.exe tagged as not-a-virus:FalseAlarm.DrWeb.Backdoor.Theef.111. No Action Taken. Sicherung\WINDOWS\WINDOWS\TEMP\install\Setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sicherung\WINDOWS\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken. Das meiste davon sind wohl tatsächlich Altlasten. Gruß Katinka Kleiner Nachtrag: Ich habe gerade nachgesehen, die beiden genannten Prozesse scheinen laut Taskmanager nicht im Hintergrund zu laufen. |
Naja, Getright hast du aber offensichtlich doch installiert. :) Hast du die Einträge gefixed? Erstelle bitte mal ein neues Logfile. Da es sich ja in erster Linie um alte Dateien bzw. auch da meist "nur" um Adware handelte, kann zumindest ich anhand des letzten Logs eigentlich nichts erkennen, was auf eine Backdoor hindeutet. Ist denn dieser Ordner, in dem die Antivir Schädlinge vermutet, noch da? |
OK, hast recht! Getright ist natürlich installiert - habe ich nur schon so lange nicht mehr verwendet. ;-) Also von den zu fixenden Einträgen waren grad nur noch die letzten drei in der Liste, diese habe ich jetzt gefixed. Das neue Log-File sieht folgendermaßen aus: *** Logfile of HijackThis v1.98.2 Scan saved at 16:24:45, on 08.09.2004 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe D:\Antivir\AVGUARD.EXE D:\Antivir\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\GEARSEC.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\iTunes\iTunesHelper.exe D:\Antivir\AVGNT.EXE C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Administrator\Desktop\Backdoor\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.autounique.de/clix/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\acrobat reader\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] "D:\Antivir\AVGNT.EXE" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: NewShortcut4.lnk = C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - hxxp://www.academynow.com/_courses/bitmedia/webplayer/awswax.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A3840A4D-6C29-4ACF-99C4-453AE6DE5F67}: NameServer = 192.168.0.32 O17 - HKLM\System\CCS\Services\Tcpip\..\{E698C880-40E9-46F7-8CC4-FE069EF90106}: NameServer = 145.253.2.11,145.253.2.75 *** Katinka P.S.: der Ordner, indem die infizierten Dateien laut Antivir immer auftauchen ist noch vorhanden. Soll ich den wohl einfach mal löschen? |
Ich hab seit gestern genau dasselbe Problem mit dem BDS/Agent.AY ich hab versucht das Backdoor teil mit Antivir zu löschen aber leider ist es immer wieder gekommen dann hab ichs mal im Abgesicherten Modus versucht doch leider kommt die meldung nach dem booten immer wieder. Ich werd jetzt mal versuchen die Festplatte von nem anderen PC zu scannen der nicht infiziert ist, hab gehört so könnt ich das löschen oder gibts ne andere Lösung?? Wie siehts bei dir aus Katinka hast du es wegbekommen? |
Hallo Katinka, - fixe bitte noch im abgesicherten Modus mit Hijack This: O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= - beende im Taskmanager diesen Prozess: realsched.exe - [edit] besuche bitte www.windowsupdate.com, um Deinen IE zu updaten und das neue Service Pack runterzuladen. Es ist beides nicht auf dem aktuellen Stand. [/edit] ------------------------------ @ p-walker - lade Dir bitte den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Anleitung im Thread: Thread-6083 - teile uns dann bitte das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien umbenannt - es sieht folgendermaßen aus: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: =>Total Number of Disinfected Files: =>Total Number of Files Renamed: =>Total Number of Deleted Files: =>Total Number of Errors: - erstelle danach bitte ein Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es (copy&paste) hier. SD |
Ja hat sich eh erledigt, wie oben gesagt hab ich meine Festplatte ausgebaut und an nen anderen PC angeschlossen. Von dem hab ich dann wieder mit Antivir meine Festplatte gescannt nur komsicherweise hat Antivir nix gefunden obwohl der Ordner immernoch da war... Naja mein Vater hat dann ein bisschen das Gehäuse verschoben um was anzuschließen, dabei gabs wohl nen Kurzschluss und fertig. Der PC ging nimmer an. Dann ab ich die Festplatte halt abgemacht und wieder an meinen PC angeschlossen und Peng mein Netzteil ist auch im Arsch :headbang: :headbang: :headbang: :headbang: :headbang: Also ich fasse zusammen: Die Festplatten von meinem Vater sind kaputt, meine Festplatte is futsch und mein Netzteil hats auch abbekommen. Ich sags euch beim nächsten mal gibts nur noch eins: Format C Mal schaun ich hab jetzt ne Router Firewall, Antivir, Zonealarm und escan und Hijack lad ich mir glaub ich auch noch runter. Ich finde es ein bisschen blöd das ihr einem nur helfen könnt wenn man escan oder Hijack hat aber anscheinend sind die tool ja ziemlich gut. Also bis dann p-walker |
"Ich finde es ein bisschen blöd das ihr einem nur helfen könnt wenn man escan oder Hijack hat aber anscheinend sind die tool ja ziemlich gut." Ich habe ja oben schon geschrieben, wozu wir die Programme brauchen, da wir nicht an deinem rechenr sitzen, ist JEDE Information nützlich, vor allem, wenn es um wneiger bekannte oder neue Schädlinge geht. Es nützt ja nicht viel, wenn du den einen löschst und dabei noch 5 weitere auf deinem System laufen, die man im HJT-Log sehen könnte, deswegen sind das Standardempfehlungen. Das mit der Hardware ist natürlich ziemlich ärgerlich. Aber gleich für die Zukunft: es ist nicht eine Masse von programmen, die die Sicherheit erhöhen, sondern grundlegende Maßnahmen, wenn du dann neu installierst auf der neuen HD, gleich umsetzen: 1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html) 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren 4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org 5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren 6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen 7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS) 8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten 9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen 10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.) 11) Bei Infektion mit Trojanern/Keyloggern: keine alten Passworte wiederverwenden, sondern alle neu anlegen Und Lektüre: http://www.mathematik.uni-marburg.de...ompromise.html http://www.mathematik.uni-marburg.de...c-removal.html http://faq.underflow.de/ |
Hi, auch mich nervt dieser BDS/Agent.AY. Komischer weiße ist meine Internetverbindung so langsam geworden und mein Ping bei Onlinegames ist auch enorm gestiegen. Hängt dieses mit dem BDS/Agent.AY zusammen? Zwar kommt keine Nachricht mehr von Anti Vir nach dem ich eScan im abgesichertem Modus ausgeführt habe, aber die Internetverbindung bleibt so langsam. MfG franky |
Poste bitte einmal ein HijackThis-Log: http://filepony.de/download-hijackthis/ |
Hier bitte der Log Logfile of HijackThis v1.98.2 Scan saved at 20:26:00, on 12.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\Winamp\winampa.exe C:\Program Files\ASUS\Probe\AsusProb.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Teledat 320\Awatch.exe D:\aktion\steam\steam.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Bo-Shot\Bo-Shot.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\CTsvcCDA.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\Teledat 320\Td320web.exe C:\Programme\xOR-IRC\mirc.exe C:\Programme\Crazy Browser\Crazy Browser.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Dokumente und Einstellungen\Franky\Eigene Dateien\DL-Programme\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Welcome to Crackspider.net! Search cracks, crackz, serial numbers, serials, keygens and patches for appz, games, torrent for pc,mac,pda software unlock codes! R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Nachrichten - Service - Shopping bei t-online.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = Welcome to Crackspider.net! Search cracks, crackz, serial numbers, serials, keygens and patches for appz, games, torrent for pc,mac,pda software unlock codes! O1 - Hosts: 213.239.0.226 andr.net O1 - Hosts: 213.239.0.226 www.andr.net O1 - Hosts: 213.239.0.226 crackz.ws O1 - Hosts: 213.239.0.226 www.crackz.ws O1 - Hosts: 213.239.0.226 crackspider.com O1 - Hosts: 213.239.0.226 www.crackspider.com O1 - Hosts: 213.239.0.226 astalavista.box.sk O2 - BHO: (no name) - {30192F8D-0958-44E6-B54D-331FD39AC959} - (no file) O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [AWatch] "C:\Programme\Teledat 320\Awatch.exe" O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\Run: [Steam] "d:\aktion\steam\steam.exe" -silent O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Teledat 320 Web.lnk = C:\Programme\Teledat 320\Td320web.exe O4 - Global Startup: Bo-Shot.lnk = C:\Programme\Bo-Shot\Bo-Shot.exe O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Search cracks at CrackSpider.NET - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - Welcome to Crackspider.net! Search cracks, crackz, serial numbers, serials, keygens and patches for appz, games, torrent for pc,mac,pda software unlock codes! (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Search cracks at CrackSpider.NET - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - Welcome to Crackspider.net! Search cracks, crackz, serial numbers, serials, keygens and patches for appz, games, torrent for pc,mac,pda software unlock codes! (file missing) (HKCU) O17 - HKLM\System\CCS\Services\Tcpip\..\{AFEB9108-D714-4618-9069-3D861DF3A7AD}: NameServer = 192.168.123.252,192.168.123.253 MfG franky |
Fixe dies: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://crackspider.net/ie/sbar.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://crackspider.net/ie/assist.php O1 - Hosts: 213.239.0.226 andr.net O1 - Hosts: 213.239.0.226 www.andr.net O1 - Hosts: 213.239.0.226 crackz.ws O1 - Hosts: 213.239.0.226 www.crackz.ws O1 - Hosts: 213.239.0.226 crackspider.com O1 - Hosts: 213.239.0.226 www.crackspider.com O1 - Hosts: 213.239.0.226 astalavista.box.sk O2 - BHO: (no name) - {30192F8D-0958-44E6-B54D-331FD39AC959} - (no file) O9 - Extra button: Search cracks at CrackSpider.NET - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - hxxp://crackspider.net/ie/btn.php (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Search cracks at CrackSpider.NET - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - hxxp://crackspider.net/ie/btn.php (file missing) (HKCU) |
Danke. Ich hab diese Datein nun gefixed, aber meine Internetverbindung ist genau so langsam wie vorher :mad: |
Hallo fRaNky, Zitat:
=>Total Number of Files Scanned: =>Total Number of Virus(es) Found: =>Total Number of Disinfected Files: =>Total Number of Files Renamed: =>Total Number of Deleted Files: Mir sind zwei auf Deinem System laufende Prozesse nicht bekannt. Sei so nett und überprüfe sie mit dem online-scan von Kaspersky: C:\Programme\Bo-Shot\Bo-Shot.exe C:\Programme\Teledat 320\Td320web.exe Teile uns bitte das Ergebnis mit. SD |
Mein eScan ergab: Sun Sep 12 22:32:11 2004 => Total Number of Files Scanned: 51965 Sun Sep 12 22:32:11 2004 => Total Number of Virus(es) Found: 7 Sun Sep 12 22:32:11 2004 => Total Number of Disinfected Files: 0 Sun Sep 12 22:32:11 2004 => Total Number of Files Renamed: 0 Sun Sep 12 22:32:11 2004 => Total Number of Deleted Files: 0 Sun Sep 12 22:32:11 2004 => Total Number of Errors: 2 File C:\Dokumente und Einstellungen\Franky\Eigene Dateien\DL-Crack.Patch\alcohol120v1.4.8build1222crackrp.zip infected by not-a-virus:Tool.Win32.TPE.a File C:\Dokumente und Einstellungen\Franky\Eigene Dateien\DL-Crack.Patch\aoe2tc2.rar infected by not-a-virus:Tool.Win32.Reboot File C:\Dokumente und Einstellungen\Franky\Eigene Dateien\DL-Programme\alc120%\Alcohol 120\Patch.exe infected by not-a-virus:Tool.Win32.TPE.a File C:\Dokumente und Einstellungen\Franky\Eigene Dateien\DL-Programme\alc120%\Alcohol.120%.v1.4.8.1222.WinAL.Retail-BetaMaster-Pleasuredome101\alcohol120_v1.4.8.1222_patch_BetaMaster\Patch.exe infected by not-a-virus:Tool.Win32.TPE.a File C:\Dokumente und Einstellungen\Franky\Eigene Dateien\DL-Programme\Alcohol[1].120%.v1.4.8.1222.WinALL.MultiLanguage.Retail-BetaMas infected by not-a-virus:Tool.Win32.TPE.a File C:\Programme\xOR-IRC\mirc.exe infected by not-a-virus:RiskWare.mIRC.6.03 File D:\Aktion\Counter-Strike\hltv.exe infected by not-a-virus:RiskWare.Proxy.Hltv --------------------------------- Teledat320 ist ein Programm über das ich ins Internet gehe. Zu überprüfende Datei: Td320web.exe Td320web.exe Ok --------------------------------- Bo-Shot ist ein Programm womit man einfache Screenshots machen kann. Zu überprüfende Datei: Bo-Shot.exe Bo-Shot.exe - packed with UPX Bo-Shot.exe Ok --------------------------------- Das sind meine Ergebnisse. MfG Franky |
Hallo, ich habe seid ein bis zwei wochen auch den bds/Agen.AY Antivir findet den Backdoor BDS/Agent.AY, jeoch nach spätestens 1 Tag kommen die Meldungen das die datei .... eine signatur des Virus trägt Das ist lästig und der rechner wird langsam. Wer kann mir helfen?? Gruß Edith |
@ edithsb Hallo, erstelle mit HiJackThis ein Log-File und poste es hier rein. Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen. |
Hallo, bin nicht so fit im system wie muß ich vorgehen??? |
Folge den Anweisungen des geposteten Links. Danach das abgespeicherte Log-File öffnen, Text kopieren und hier in den Thread einfügen. |
Ich hoffe das ist richtig Logfile of HijackThis v1.98.2 Scan saved at 23:29:00, on 17.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\RealVNC\WinVNC\WinVNC.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\Programme\lycos\Lyc_SysTray.exe C:\Programme\1&1\1&1 Upload-Manager\UploadManager.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\test\LOKALE~1\Temp\Rar$EX01.797\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Programme\DashBar\DashBar15.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [lycosInside] C:\Programme\lycos\Lyc_SysTray.exe O4 - HKCU\..\Run: [1&1 Upload-Manager] "C:\Programme\1&1\1&1 Upload-Manager\UploadManager.exe" HIDE O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095449567968 O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web8.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2B422C3A-02C2-4D6C-97A9-2EDA8931FB8F}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{A68A6C00-06D7-4C67-831E-F93FD759C448}: NameServer = 194.25.2.129,195.20.224.234 O17 - HKLM\System\CS1\Services\Tcpip\..\{2B422C3A-02C2-4D6C-97A9-2EDA8931FB8F}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CS2\Services\Tcpip\..\{2B422C3A-02C2-4D6C-97A9-2EDA8931FB8F}: NameServer = 192.168.120.252,192.168.120.253 |
Hallo Profis Habe seid gestern auch diese lästige meldung Backdoor BDS/Agent.AY Habe hier schon so einiges durchgelesen komme aber irgendwie nicht weiter vielleicht könnt ihr mir auch mal helfen was ich so gelesen hab ist dieses logfile für euch wichtig das habe ich gemacht Logfile of HijackThis v1.98.2 Scan saved at 12:41:50, on 20.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: G:\WINDOWS\System32\smss.exe G:\WINDOWS\system32\winlogon.exe G:\WINDOWS\system32\services.exe G:\WINDOWS\system32\lsass.exe G:\WINDOWS\system32\svchost.exe G:\WINDOWS\System32\svchost.exe G:\WINDOWS\Explorer.EXE G:\WINDOWS\system32\spoolsv.exe G:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe G:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe G:\Programme\D-Tools\daemon.exe G:\WINDOWS\System32\RUNDLL32.EXE G:\Programme\WinZip\WZQKPICK.EXE G:\WINDOWS\System32\devldr32.exe G:\Programme\AVPersonal\AVWUPSRV.EXE G:\WINDOWS\System32\nvsvc32.exe G:\WINDOWS\System32\svchost.exe G:\Programme\AVPersonal\AVGUARD.EXE G:\Programme\teamspeak2_RC2\TeamSpeak.exe G:\Programme\AVPersonal\AVGNT.EXE G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe G:\Programme\Xi\NetTransport 2\NetTransport.exe G:\Programme\Internet Explorer\iexplore.exe H:\Downloads\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.powerquest.com/register.a...PM&Language=DE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - g:\programme\google\googletoolbar2.dll O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - G:\Programme\Xi\NetTransport 2\NTIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - g:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [HPDJ Taskbar Utility] G:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe O4 - HKLM\..\Run: [MMTray] G:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [TkBellExe] "G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [DAEMON Tools-1033] "G:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [CMESys] "G:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [NeroCheck] G:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] G:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [Steam] "h:\spiele\cs\steam.exe" -silent O4 - HKCU\..\Run: [XSC SIP Client] "G:\Programme\X-Lite\X-Lite.exe" O4 - HKCU\..\Run: [my-playlist] "G:\Programme\my-playlist\my-playlist.exe" /Autostart O4 - Global Startup: GStartup.lnk = G:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = G:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Add animation to IncrediMail Style Box - G:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Google Search - res://g:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Alles mit Net Transport herunterladen - G:\Programme\Xi\NetTransport 2\NTAddList.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://g:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Mit Net Transport herunterladen - G:\Programme\Xi\NetTransport 2\NTAddLink.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://g:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://g:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\MSMSGS.EXE O10 - Broken Internet access because of LSP provider 'xfire_lsp_7626.dll' missing O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab27571.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab27571.cab O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab27571.cab O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://install.cokemusic.de/client/p...LER_loader.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{7455CA1B-9160-4C94-86E8-9E246BE77E90}: NameServer = 195.50.140.250 145.253.2.11 tjo da ich nicht so fit in solchen dingen bin sind es nur zahlen und buchstaben für mich jetzt werde ich erstmal auf eure antworten warten... Danke schon mal für die mühe |
Hallo LuckyLux, - besuche www.windowsupdate.com. Downloade SP2. Service Packs erhöhen die Sicherheit des Betriebssystems. - untersuche mit dem online-scan von : Kaspersky G:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 6.exe G:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" G:\Programme\X-Lite\X-Lite.exe G:\Programme\my-playlist\my-playlist.exe Ergebnis? - fixe im abgesicherten Modus mit Hijack This / die von mir mit (*) gekennzeichneten Einträge nur fixen, wenn Du sie nicht kennst/brauchst: (*) R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.powerquest.com/register....=PM&Language=DE O4 - HKLM\..\Run: [TkBellExe] "G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - Global Startup: GStartup.lnk = G:\Programme\Gemeinsame Dateien\GMT\GMT.exe (*) O8 - Extra context menu item: &Add animation to IncrediMail Style Box - G:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm (*) O8 - Extra context menu item: &Google Search - res://g:\programme\google\GoogleToolbar2.dll/cmsearch.html (*) O8 - Extra context menu item: Alles mit Net Transport herunterladen - G:\Programme\Xi\NetTransport 2\NTAddList.html (*) O8 - Extra context menu item: Im Cache gespeicherte Seite - res://g:\programme\google\GoogleToolbar2.dll/cmcache.html (*) O8 - Extra context menu item: Mit Net Transport herunterladen - G:\Programme\Xi\NetTransport 2\NTAddLink.html (*) O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 (*) O8 - Extra context menu item: Verweisseiten - res://g:\programme\google\GoogleToolbar2.dll/cmbacklinks.html (*) O8 - Extra context menu item: Ähnliche Seiten - res://g:\programme\google\GoogleToolbar2.dll/cmsimilar.html (*) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\MSMSGS.EXE (*) O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\MSMSGS.EXE O10 - Broken Internet access because of LSP provider 'xfire_lsp_7626.dll' missing (*) O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab (*) O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://install.cokemusic.de/client/...LLER_loader.exe - lade Dir den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Du findest eine genaue, bebilderte Anleitung in diesem Thread-6083 - teile uns dann bitte, zusammen mit dem Ergebnis des eScan, auch die Namen des Virus/der Viren mit: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: =>Total Number of Disinfected Files: =>Total Number of Files Renamed: =>Total Number of Deleted Files: - wie Du den IE sicher konfigurieren kannst, um ihn für die windows-updates zu verwenden, erfährst Du hier. Besser wäre ein Browserwechsel u.a.m. - erstelle ein neues Logfile mit Hijack This SD |
@ edithsb - besuche www.windowsupdate.com. Lade Dir SP2 runter, zusammen mit allen Patches für Dein System und die aktuelle Version des IE. - downloade den eScan, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus: Thread-6083 - teile uns, zusammen mit dem Ergebnis des eScan, die Namen des Virus/der Viren mit: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: =>Total Number of Disinfected Files: =>Total Number of Files Renamed: =>Total Number of Deleted Files: - wie Du den IE sicher konfigurieren kannst, um ihn für die windows-updates zu verwenden, erfährst Du hier. Ein Browserwechsel wäre als vorbeugende Maßnahme zu erwägen: Browserwechsel u.a.m. - erstelle dann bitte ein neues Logfile mit Hijack This und poste es. SD |
Hallo Ihr... Diese Problem scheint sich ja zur Volksseuche zu entwickeln. Ich krieg seit ein paar Tagen die selbe Meldung von Antivir. Hab mich hier schonmal eingelesen komme aber auch nicht weiter ( wie die meisten wahrscheinlich ). Ich hoffe auch ihr könnt mir helfen. Ich hab mir gestern schonmal das update von Windows geholt und natürlich auch den HiJacker und eScan. Ich bin doch wirklich überrascht wieviel Würmer, Viren und Trojaner sich auf meinem Rechner befinden / befanden die AV Antivir nicht gleich findet. Ich hab im abgesicherten Modus die Logfile vom HiJacker mal gepostet in der Hoffnung das auch Ihr mir helfen könnt. Was muss ich tun...??? :heulen: Logfile of HijackThis v1.98.2 Scan saved at 11:51:08, on 23.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE D:\Programme\HiJackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.toysrus.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MPFExe] D:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - HKCU\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: D-Link AirPlus Xtreme G Configuration Utility.lnk = ? O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: MedionShop - {63ACE1AD-B0B3-43D8-A751-F7D94BAC3F79} - hxxp://www.medionshop.de/ (file missing) (HKCU) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=hxxp://www.toysrus.de/ O16 - DPF: IEToolbarCab - hxxp://www.lesbiantoolbar.com/DailyToolbar.CAB O16 - DPF: {00000000-DDBB-0704-0B53-2C8830E9FAEC} - hxxp://freeload.cc/acxd/ieloader.cab O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - hxxp://63.217.29.115/cax.cab O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - hxxp://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - hxxp://webinstall.tscash.com/webinstall.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095897611500 O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - hxxp://freeload.cc/secure/ieloader.cab O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - hxxp://static.flingstone.com/cab/2000XP/CDTInc/bridge-c2.cab O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - hxxp://www.o2c.de/download/O2CPlayer.CAB O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - hxxp://install.serviceurl.de/StarInstall.ocx Hilfeeeeeeeeee!!!!!!! |
@ H-Money Erstelle das Logfile bitte im normalen Modus. Gehst du über DSL oder per Modem ins Netz? Was genau hat E-Scan gefunden (Namen der Schädlinge)? |
Ich gehe über T-DSL und AOL ins Internet. Fastpath hab ich auch. Neue Logfile im nicht-geschützen Mod. Logfile of HijackThis v1.98.2 Scan saved at 13:06:52, on 23.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\WINDOWS\DitExp.exe D:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\WINDOWS\System32\RunDLL32.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\D-Link AirPlus Xtreme G\AirPlus.exe C:\Programme\AVPersonal\AVWUPSRV.EXE D:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe D:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe D:\Programme\HiJackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.toysrus.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MPFExe] D:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - HKCU\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: D-Link AirPlus Xtreme G Configuration Utility.lnk = ? O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe.mwt O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: MedionShop - {63ACE1AD-B0B3-43D8-A751-F7D94BAC3F79} - hxxp://www.medionshop.de/ (file missing) (HKCU) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=hxxp://www.toysrus.de/ O16 - DPF: IEToolbarCab - hxxp://www.lesbiantoolbar.com/DailyToolbar.CAB O16 - DPF: {00000000-DDBB-0704-0B53-2C8830E9FAEC} - hxxp://freeload.cc/acxd/ieloader.cab O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - hxxp://63.217.29.115/cax.cab O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - hxxp://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - hxxp://webinstall.tscash.com/webinstall.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095897611500 O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - hxxp://freeload.cc/secure/ieloader.cab O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - hxxp://static.flingstone.com/cab/2000XP/CDTInc/bridge-c2.cab O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - hxxp://www.o2c.de/download/O2CPlayer.CAB O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - hxxp://install.serviceurl.de/StarInstall.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{97580C1A-C0C6-4949-BE78-80FE1D322824}: NameServer = 205.188.146.146 Nachdem ich E´scan n paarmal durchlaufen hab lassen. Findet er nichts mehr. Ist der Käse nu runter? :confused: |
hallo habe das selbe Problem mein Hijack Log: Logfile of HijackThis v1.98.0 Scan saved at 15:19:51, on 23.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Programme\Sicherheit\Antivirus\AVWUPSRV.EXE D:\Programme\Sony\Net MD Simple Burner\NetMDSB.exe D:\WINDOWS\System32\nvsvc32.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\soundman.exe D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe D:\Programme\Winamp\winampa.exe D:\Programme\QuickTime\qttask.exe D:\programme\gatinst\trickler_bic_dopewars_3013.exe D:\WINDOWS\System32\vpc32.exe D:\WINDOWS\System32\ctfmon.exe D:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\DSLMON.exe D:\Programme\GetRight\getright.exe D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe D:\Programme\GetRight\getright.exe D:\Programme\Logitech\MouseWare\system\em_exec.exe D:\Programme\Mozilla Firefox\firefox.exe D:\DOKUME~1\#1\LOKALE~1\Temp\Rar$EX00.322\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe, O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [SoundMan] soundman.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [AnyDVD] D:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [Trickler] "d:\programme\gatinst\trickler_bic_dopewars_3013.exe" O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe O4 - Startup: Check For Dope Wars Updates.lnk = D:\Programme\Dopewars\WiseUpdt.exe O4 - Global Startup: DSLMON.lnk = D:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\DSLMON.exe O4 - Global Startup: GetRight - Tray Icon.lnk = D:\Programme\GetRight\getright.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Community\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Community\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1B2F29D8-5EA8-4A9C-A397-ED213EE626C2}: NameServer = 62.27.27.62 62.27.53.66 O17 - HKLM\System\CS1\Services\Tcpip\..\{1B2F29D8-5EA8-4A9C-A397-ED213EE626C2}: NameServer = 62.27.27.62 62.27.53.66 Bitte um Hilfe |
Hallo @ mc-fab-z Dein Problem gestaltet sich anders. Bei dir läuft im Hintergrund ein aktiver Backdoor Rbot.gen mit! Siehe http://www.trojaner-board.de/showpos...90&postcount=7 Der Grund für die Kompromittierung ist, das deine Sicherheitslücken mittels Patches (Windows Update) nicht vor dir geschlossen wurden! Daraus resultiert diese logische Konsequenz: http://www.trojaner-board.de/showpos...96&postcount=9 |
Auch bei mir hat heute Antivir BDS/Agent.AY gefunden. Mein Scan: Logfile of HijackThis v1.98.2 Scan saved at 21:40:20, on 23.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\KaZaA Lite\Kazaa.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Telekom\Eumex 704PC LAN\Capictrl.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\Telekom\Eumex 704PC LAN\HNetCtrl.exe C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe C:\Palm\HOTSYNC.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\AVPersonal\AVWIN.EXE C:\PROGRA~1\MOZILL~1\firefox.exe C:\Dokumente und Einstellungen\-\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hakkinen.net/cgi-bin/yabb/YaBB.cgi R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL (file missing) O2 - BHO: UCmore toolbar - {ED8DB0FD-D8F4-4b2c-BB5B-9EF040FE104D} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O3 - Toolbar: POPStopperIE.CToolbar - {4B7B69EB-A00F-4FCD-B601-ACCBB86ED528} - C:\Dokumente und Einstellungen\-\Eigene Dateien\Programme\POP-Up Blocker\POP-Stopper-IE.dll (file missing) O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KAZAA] C:\Programme\KaZaA Lite\Kazaa.exe /SYSTRAY O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SPSMOUNTER] E:\VOLLVER\STEGAN~B\START.EXE O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [POP-Stopper-IE] "C:\Dokumente und Einstellungen\-\Eigene Dateien\Programme\POP-Up Blocker\POP-Stopper-IE.exe" O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE O4 - Global Startup: CAPI Control.lnk = C:\Programme\Telekom\Eumex 704PC LAN\Capictrl.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: HomeNet Control.lnk = C:\Programme\Telekom\Eumex 704PC LAN\HNetCtrl.exe O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~4\Office\1031\phdintl.dll/phdContext.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F6} (Flatcast Viewer 4.9) - hxxp://www.1mal1.com/flatcast/NpFv49.dll O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F7} (Flatcast Viewer 4.10) - hxxp://www.1mal1.com/flatcast/NpFv410.dll O16 - DPF: {CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA} (Java Runtime Environment 1.3.1_04) - O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) - O16 - DPF: {CAFEEFAC-0014-0001-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1) - O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - hxxp://install.stardialer.de/StarInstall.ocx Was muss ich machen? Danke schon malim voraus. |
@H-Money vbmenu_register("postmenu_73378", true); Fixe dies mit HijackThis dies: O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe.mwt O16 - DPF: IEToolbarCab - hxxp://www.lesbiantoolbar.com/DailyToolbar.CAB O16 - DPF: {00000000-DDBB-0704-0B53-2C8830E9FAEC} - hxxp://freeload.cc/acxd/ieloader.cab O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - hxxp://63.217.29.115/cax.cab O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - hxxp://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - hxxp://webinstall.tscash.com/webinstall.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.c...b?1095897611500 O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - hxxp://freeload.cc/secure/ieloader.cab O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - hxxp://static.flingstone.com/cab/20...c/bridge-c2.cab O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - hxxp://www.o2c.de/download/O2CPlayer.CAB O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - hxxp://install.serviceurl.de/StarInstall.ocx Lösche anschließend diese Dateien, sofern noch vorhanden: C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\WINDOWS\Downloaded Program Files\bridge.dll C:\Programme\Gemeinsame Dateien\GMT\GMT.exe |
@n00b Zuerst solltest du mal www.windowsupdate.com besuchen und alles Patches und Updates installieren. Scanne mal mit eScan im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083 Anschließend erstelle und poste ein neues Log von HijackThis. |
@ christian hi...... ich habe auch dieses übeltäter auf dem rechner, da du dich damit anscheinend gut auskennst würde ich mich freuen wenn du mir helfen könntest. ich bin soweit du das erklärst auch vorgegangen, das problem was sich nun zusätzlich stellt ist das, dass nach dem eScan windows zwar noch hochfährt,aber fehlerhaft.(File C:\Programme\NewDotNet\newdotnet6_38.dll infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: File Renamed) denke liegt daran. Logfile of HijackThis v1.98.2 Scan saved at 02:32:38, on 24.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Date Manager\DateManager.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\FinePixViewer\QuickDCF.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe C:\Dokumente und Einstellungen\Michel Boller\Eigene Dateien\Downloads\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = hxxp://www.jetseeker.com/ie/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.jetseeker.com/ie/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.arcor.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = hxxp://www.jetseeker.com/ie/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.jetseeker.com/ie/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.startseite.de/searchbar R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www.unibw-muenchen.de:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 137.193.***.***;217.2.47.***;<local> O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe O4 - HKLM\..\Run: [spp] regedit -s C:\spp.reg O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe.mwt O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe.mwt O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_38.dll' missing O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - hxxp://install.global-netcom.de/ieloader.cab O16 - DPF: {0EB1CA3E-C9C7-42B6-8016-B0CBA435E291} (ImclCtl Class) - hxxp://messenger.lycos.de/messenger/client/ActiveXMsgrCore.cab O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - hxxp://acxd.freeload.cc/ieloader.cab O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - hxxp://download.abetterinternet.com/download/cabs/LOT64106/thin.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - hxxp://software-dl.real.com/10a93a8bc1bb52529e16/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095509831421 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - hxxp://messenger.zone.msn.com/binary/MessengerStatsClient.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A26E1FB2-F2D2-4BFD-B3F3-5FAFBCECF6C6}: NameServer = 137.193.11.8,137.193.16.24 brauchst du noch was? vielen dank schon mal MFG MICHEL |
Besorge dir zunächst mal: http://www.cexx.org/lspfix.htm falls nach der Säuberung etwas mit einem Internet nicht klappen sollte, kannst du es damit wieder reparieren. Du hast E-Scan offensichtlich so eingestellt, dass es beim Windowsstart ebenfalls startet? Ist eigentlich nicht nötig. Systemwiederherstellung deaktivieren: http://www.systemwiederherstellung-d...indows-xp.html Beende den Prozess per Taskmanager: C:\Programme\Date Manager\DateManager.exe Mit Hijackthis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken): C:\Programme\Date Manager\DateManager.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.jetseeker.com/ie/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.jetseeker.com/ie/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.jetseeker.com/ie/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.jetseeker.com/ie/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar O4 - HKLM\..\Run: [spp] regedit -s C:\spp.reg O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe.mwt O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_38.dll' miss O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com...T64106/thin.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/10a93a8...RdxIE601_de.cab Boote in den abgesicherten Modus: http://www.trojaner-board.de/63335-w...s-starten.html lösche die in den Einträgen genannten Dateien, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge. |
danke.... bis jetzt soweit so gut. aber wie meinst du das nach dem booten im abgesicherten modus, mit den gezeigeten dateien löschen, das versteh ich nicht ganz. wie und wo*lol* löschen? |
Die Dateien in den zu fixenden Einträgen, wie beispielsweise: DateManager.exe spp.reg GMT.exe.mwt solltest du suchen und löschen. Sinnvoll wäre außerdem die Verwendung von www.clearprog.de zum Säubern der temporären Ordner. |
ok....nächste blöde frage.. die spp.reg findet er nicht, die anderen sind gelöscht, waren ja nur noch die beiden anderen oder täusche ich mich da auch?*g* |
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Versuche nochmals die Datei zu löschen. |
so, hab das beim windows explorer auch probiert, findet er trotzdem nicht. hab dann einfach mal wie beschrieben weiter gemacht. ergebnis bei eScan war nur ein fund: File C:\WINDOWS\Coder\_11871-p-1-0-.exe infected by not-a-virus:RiskWare.Dialer.SendMan.g desweiteren: Logfile of HijackThis v1.98.2 Scan saved at 12:48:50, on 24.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\FinePixViewer\QuickDCF.exe C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Michel Boller\Eigene Dateien\Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www.unibw-muenchen.de:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 137.193.***.***;217.2.47.***;<local> O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe.mwt O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB1CA3E-C9C7-42B6-8016-B0CBA435E291} (ImclCtl Class) - http://messenger.lycos.de/messenger/...eXMsgrCore.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095509831421 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A26E1FB2-F2D2-4BFD-B3F3-5FAFBCECF6C6}: NameServer = 137.193.11.8,137.193.16.24 wie schauts aus......is das system wieder sauber? |
Also ich hab seit ein paar wochen auch den Virus drauf. Ich kenne mich leider nicht sehr gut mit dem Computer aus, ich hoffe ihr könnt mir hier weiterhelfen. Das hat hijack gefunden : Logfile of HijackThis v1.98.2 Scan saved at 15:34:37, on 24.09.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) Running processes: C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\sstray.exe D:\Program Files\ASUS\Probe\AsusProb.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AVPersonal\AVGNT.EXE E:\PROGRA~1\TEXTBR~1\Bin\INSTAN~1.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03.exe C:\WINNT\system32\internat.exe C:\Programme\MSN Messenger\msnmsgr.exe D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe C:\ScanPanel\ScnPanel.exe E:\Programme\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...ch/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - F:\Download\Yahoo!\Companion\Installs\cpn\ycomp5_3_12_0.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Download\Yahoo!\Companion\Installs\cpn\ycomp5_3_12_0.dll (file missing) O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1601.0\de\msntb.dll O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Programme\DashBar\DashBar17.dll (file missing) O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ASUS Probe] D:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [Desksite CMA] C:\Programme\desksite\bin\cma.exe O4 - HKLM\..\Run: [InstantAccess] e:\PROGRA~1\TEXTBR~1\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] e:\PROGRA~1\TEXTBR~1\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03.exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\RunServices: [RegisterDropHandler] e:\PROGRA~1\TEXTBR~1\Bin\REGIST~1.EXE O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [Babylon Translator] E:\Programme\Babylon Translator\Babylon.exe O4 - HKCU\..\Run: [WindowBlinds] F:\Download\Programme\winblind\2\wbload.exe auto O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: SATARaid.lnk = C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe O8 - Extra context menu item: Yahoo! Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm O8 - Extra context menu item: Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - F:\Download\Yahoo!\Messenger\yhexbmes0411.dll (file missing) O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - F:\Download\Yahoo!\Messenger\yhexbmes0411.dll (file missing) O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - F:\DOWNLOAD\AIM\aim.exe O9 - Extra button: MP3 - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\euro-libremp3-de\local.html (file missing) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialer...ecomendada.cab O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://install.cokemusic.de/client/p...LER_loader.exe |
Hallo linus1981, überprüfe diesen Przozess mit dem Online-Scan von Kaspersky: C:\Programme\FinePixViewer\QuickDCF.exe Teile uns bitte das Ergebnis der Überprüfung mit. Wenn Du diese Einträge nicht kennst/brauchst, fixe sie bitte im abgesicherten Modus mit Hijack This: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 137.193.***.***;217.2.47.***;<local> O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O8 - auf Anraten von *Christian* gelöscht - O9 - auf Anraten von *Christian* gelöscht - Erstelle ein neues Logfile mit Hijack This und poste es. Gruss Shadowdance [edit] danke *Christian* [/edit] |
Hallo Kleene, beachte bitte die Postings von *christian* ... ;) Gruss Shadowdance [edit] geändert [/edit] |
@Kleene vbmenu_register("postmenu_73603", true); Du hast einen Dialer auf deinem System. Bevor du mit eScan scannst, solltest du die Datei evtl. sichern. Lass einfach mal mit eScan im abgesicherten Modus scannen und dann poste ein neues Log von HijackThis. |
|
Ist der Dialer eigentlich schlimm?? Ich hab eScan im abgesicherten modus laufen lassen. |
Na, der Dialer verursacht halt Kosten. Darum solltest du den Dialer zuvor sichern. Solltest du mit DSL ins Web gehen, kann der Dialer keine Kosten verursachen. In den abgesicherten Modus kommst du, wenn du beim Start deines PC's die F8-Taste drückst und dann den abgesicherten Modus auswählst. |
Ich hab ja zum Glück DSL.Und wie sichert man den Dialer? |
Na, wenn du DSL hast, dann brauchst du den Dialer nicht sichern. :blabla: Scanne nun mit eScan. |
Achso auch gut :D Aber eScan bringt jetzt nur noch bei Files scenned: Fri Sep 24 19:20:30 2004 => Total Number of Deleted Files: 0 Fri Sep 24 19:20:30 2004 => Total Number of Errors: 0 Fri Sep 24 19:20:30 2004 => Time Elapsed: 00:00:37 Fri Sep 24 19:20:30 2004 => Virus Database Date: 2004/09/08 Fri Sep 24 19:20:30 2004 => Virus Database Count: 103474 Fri Sep 24 19:20:30 2004 => Scan Completed. und bei Virus Log Information: File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Result: Total Number of Virus(es) Found 1 Total Number of Disinfected Files 0 Total Number of Deleted Files 0 Total Number of Files Renamed 0 Total Number of Errors 0 |
Poste jetzt ein neues Log von HijackThis: http://filepony.de/download-hijackthis/ |
hijack log: Logfile of HijackThis v1.98.2 Scan saved at 20:28:06, on 24.09.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) Running processes: C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\sstray.exe D:\Program Files\ASUS\Probe\AsusProb.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AVPersonal\AVGNT.EXE E:\PROGRA~1\TEXTBR~1\Bin\INSTAN~1.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03.exe C:\WINNT\system32\internat.exe C:\Programme\MSN Messenger\msnmsgr.exe D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe C:\ScanPanel\ScnPanel.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\IEXPLORE.EXE E:\Programme\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...ch/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Download\Yahoo!\Companion\Installs\cpn\ycomp5_3_12_0.dll (file missing) O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1601.0\de\msntb.dll O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Programme\DashBar\DashBar17.dll (file missing) O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ASUS Probe] D:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [InstantAccess] e:\PROGRA~1\TEXTBR~1\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] e:\PROGRA~1\TEXTBR~1\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03.exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\RunServices: [RegisterDropHandler] e:\PROGRA~1\TEXTBR~1\Bin\REGIST~1.EXE O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [WindowBlinds] F:\Download\Programme\winblind\2\wbload.exe auto O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe.mwt O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: SATARaid.lnk = C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe O8 - Extra context menu item: Yahoo! Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm O8 - Extra context menu item: Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - F:\Download\Yahoo!\Messenger\yhexbmes0411.dll (file missing) O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - F:\Download\Yahoo!\Messenger\yhexbmes0411.dll (file missing) O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - F:\DOWNLOAD\AIM\aim.exe O9 - Extra button: MP3 - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\euro-libremp3-de\local.html (file missing) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialer...ecomendada.cab O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://install.cokemusic.de/client/p...LER_loader.exe |
Fixe mit HijackThis dies: O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Download\Yahoo!\Companion\Installs\cpn\ycomp5_3 _12_0.dll (file missing) O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Programme\DashBar\DashBar17.dll (file missing) O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe.mwt O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - F:\Download\Yahoo!\Messenger\yhexbmes0411.dll (file missing) O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - F:\Download\Yahoo!\Messenger\yhexbmes0411.dll (file missing) O9 - Extra button: MP3 - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\euro-libremp3-de\local.html (file missing) O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/diale...Recomendada.cab O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://install.cokemusic.de/client/...LLER_loader.exe Anschließend lösche diese Ordner bzw. Dateien: C:\Programme\DashBar C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe |
Also bis auf "C:\Programme\DashBar" konnte ich die dateien finden und löschen. aber den ordner gibt es dort nirgends. Kann ich jetzt eigentlich auch den Ordner "fpblblnr" + Unterordner löschen. AntiVir brachte ja, das dort die dateien mit dem Virus sind :rolleyes: |
Hallo, auch ich habe das hier aufgeführte Problem...Da es offensichtlich nötig ist genauere Daten per Hijack-Log hier zu hinterlassen um Hilfe zu erhalten habe ich dies bereits getan. Ich hoffe ihr könnt mir genauso schnell helfen wie den anderen Usern hier :) Log: Logfile of HijackThis v1.98.2 Scan saved at 17:08:15, on 27.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Winamp\Winampa.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Eigene Programme\ICQLite\ICQLite.exe C:\Programme\QuickTime\qttask.exe C:\Eigene Programme\iTunes\iTunesHelper.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\Mixer.exe C:\Eigene Programme\AV\AVGUARD.EXE C:\Eigene Programme\AV\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Messenger\msmsgs.exe C:\Eigene Programme\AV\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\System32\gearsec.exe C:\Programme\iPod\bin\iPodService.exe C:\Eigene Programme\iTunes\iTunes.exe C:\Eigene Programme\IRC\mirc.exe C:\Eigene Programme\Opera7\Opera.exe D:\Schleuse\Schleuse_2\hijackthis1982\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Eigene Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\EIGENE~1\FlashFXP\IEFlash.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Eigene Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] C:\Eigene Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Eigene Programme\AV\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Eigene Programme\Netscape\Netscp.exe" -turbo O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Eigene Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Eigene Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Eigene Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6F3BEF9D-50DB-444F-B719-B03FA9C4451D}: NameServer = 212.18.0.5,212.18.3.5 Danke schonmal im Vorraus mfg Empoper |
Hi ! Ich habe leider seit einigen tagen genau das selber problem wie ihr alle hier :( hier mein log: Logfile of HijackThis v1.98.2 Scan saved at 22:09:49, on 27.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Program Files\mIRC\mirc.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\teamspeak2_RC2\TeamSpeak.exe C:\Programme\Winamp\Winamp.exe C:\Dokumente und Einstellungen\gbjhp\Eigene Dateien\rtcw-demos\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kodler.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL O9 - Extra button: concept/design's onlineTV - {859F8B92-A372-4302-A3EB-86B9911E3699} - C:\Programme\onlineTV\onlineTV.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{15559404-FF5C-4E68-8AEE-94806310AE60}: NameServer = 217.237.150.97 217.237.149.161 O17 - HKLM\System\CS1\Services\Tcpip\..\{15559404-FF5C-4E68-8AEE-94806310AE60}: NameServer = 217.237.150.97 217.237.149.161 Bitte ich bräuchte dringend hilfe. Durch den Virus bzw. trojaner lassen sich keine spiele mehr anständig spielen! ist fast nur noch ein geruckelt :( Danke! grus xtrem |
@Empoper Ich sehe keinen Backdoor auf deinem System. Du solltest jedoch www.windowsupdate.com besuchen und alle Patches und Updates installieren. Dies kannst du fixen: O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) |
@xtrem Du solltest unbedingt www.windowsupdate.com besuchen und alle Updates und Patches installieren. Fixe mit HijackThis dies: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab Bei den folgenden Dateien handelt es sich um Spy- bzw. Adware. Du solltest die Dateien löschen: C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe |
Hi, also ich habe jetz mal im abgesicherten modus escan durchlaufen lassen. Er hat auch eine Datei gefunden die remove.exe hieß - er kannte die datei unter TrojanDownloader.win32 bla bla also wird er das wohl sehr wahrscheinlich gewesen sein. zumal ich jetz vor ner halben stunde die files wieder gelöscht habe die antivir anzeigte und bis jetz keine neue meldung bekomm habe - das wars dann wohl :) btw hab auch mal die sachen im hjt gefixed - danke dafür christian - gator und der andere mist sind jetz runter :) gruß xtrem |
Da gibt's ne Hilfe gegen BDS/Agent.AY !!! Und zwar ein Scan-Programm genannt a2 (a hoch 2 / a squared 2). Das ist zwar kostenlos aber man muss sich registrieren. (am besten auf nen E-Mail-Account, wo Du Spam-Mail hinbestellst oder so wat!). Bei mir hat das Programm auf jeden Fall geholfen. Es hat ca. 1 Stunde gescannt und dabei 8 Trojaner gefunden. Daraufhin kann man das Gefundene rauslöschen!!! (Der Ordner in C:Programme/Gemeinsame Dateien kommt zwar wieder aber die gefährliche EXE-Datei bleibt aus) Lest mal unter Folgendem Link/URL das Forum bzw. ladet das Programm unter zweitem Link/URL http://forum.mikes-pchilfe.de/index....;threadid=3395 http://www.mikes-pchilfe.de/goto.php...details&id=118 Das klappt auf jeden Fall, trotzdem viel Glück, sycoman76 ... |
Danke *Christian* , auch wenn sich mein Trojaner scheinbar in Luft aufgelöst hat. Ich habe Antivir mehrmal laufen lassen und der Trojaner scheint tatsächlich weg zu sein...ich kanns mir nicht erklären, wieso er auf einmal verschwunden ist, aber ganz unzufrieden bin ich damit ja auch nicht *g* mfg Empoper |
So, ich habe seit kurzem das Prob mit dem agent.ay Hier die Log file von HJT: Logfile of HijackThis v1.98.2 Scan saved at 13:53:35, on 29.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Programme\Antivi\AVWUPSRV.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\sstray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe D:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe D:\Programme\Antivi\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe D:\Programme\Trillian\trillian.exe D:\desktop\Ich\steam\steam.exe D:\Programme\Antivi\AVGUARD.EXE C:\Dokumente und Einstellungen\Benutzer\Desktop\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\Antivi\AVGNT.EXE" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Steam] "d:\desktop\Ich\steam\steam.exe" -silent O4 - Startup: Trillian.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096454981640 O17 - HKLM\System\CCS\Services\Tcpip\..\{4EBED6D9-13AF-4BDD-BFF9-D7718B5938F5}: NameServer = 192.168.0.1 Ich hoffe Ihr könnt mir helfen Mfg Funzogger |
Fixen: O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" Sofern die Datei C:\Programme\GemeinsameDateien\CMEII\CMESys.exe noch vorhanen ist - löschen. |
Jo dankeschön christian wars das dann mit dem agent.ay?? Ps: kannste auch was mit den ergebnissen vom e`scan anfangen?? |
Scheint nicht mehr drauf zu sein .... Poste doch mal das Log von eScan ... |
so hier haste es: Wed Sep 29 17:09:31 2004 => Total Number of Files Scanned: 56374 Wed Sep 29 17:09:31 2004 => Total Number of Virus(es) Found: 12 Wed Sep 29 17:09:31 2004 => Total Number of Disinfected Files: 0 Wed Sep 29 17:09:31 2004 => Total Number of Files Renamed: 4 Wed Sep 29 17:09:31 2004 => Total Number of Deleted Files: 0 Wed Sep 29 17:09:31 2004 => Total Number of Errors: 1 Wed Sep 29 17:09:31 2004 => Time Elapsed: 01:06:54 Wed Sep 29 17:09:31 2004 => Virus Database Date: 2004/09/29 Wed Sep 29 17:09:31 2004 => Virus Database Count: 104569 File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed. File C:\System Volume Information\_restore{42CBA484-257E-41EF-BA78-85B14229B81F}\RP121\A0050752.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed. File C:\System Volume Information\_restore{42CBA484-257E-41EF-BA78-85B14229B81F}\RP121\A0050753.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed. File C:\System Volume Information\_restore{42CBA484-257E-41EF-BA78-85B14229B81F}\RP121\A0051840.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed. File D:\Desktop\David\Half-Life\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken. File D:\System Volume Information\_restore{1AF78710-143E-46B9-836F-A0C045BE2817}\RP10\A0004561.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\System Volume Information\_restore{1AF78710-143E-46B9-836F-A0C045BE2817}\RP17\A0011663.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken. File D:\System Volume Information\_restore{1B06416B-63A8-4482-90E9-883516742D7F}\RP18\A0001651.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\System Volume Information\_restore{42CBA484-257E-41EF-BA78-85B14229B81F}\RP121\A0049367.exe tagged as not-a-virus:Tool.Win32.Pcwelt.a. No Action Taken. File D:\System Volume Information\_restore{817A44C2-99A1-490B-A108-3176C018C65B}\RP64\A0247687.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken. File E:\downloads\cladDVD 170MAX.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File E:\downloads\podbot25.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. kannste damit was anfangen?? Mfg Funzogger |
Laut dem Log hat eScan diesen Schädling nicht entdeckt und somit auch nicht gelöscht .... |
humm entweder iser tatsächlich weg oder er kommt wieder, wie es so oft in den anderen fällen geschehen ist.....vllt liegts auch daran, dass er nit gefunden wurde, da ich am selbigem tage den virus gelöscht hab per antivir.... na, dann wolln wir mal schauen... aber trotzdem danke für die hilfe :bussi: Mfg Funzogger |
Hallo, habe eine Frage AntiVir fand folgendes DIAL/301006 lebenslauf[mf-10175.de].exe (habe ich dann auf löschen gedrückt) Gruß Edith |
@ edith Und was ist deine Frage? Erstelle mal bitte ein Log: http://www.trojaner-board.de/51130-a...ijackthis.html und poste es in einen eigenen Thread, bevor das hier noch länger und konfuser wird. |
Hi an alle!Ich habe mal eine Frage an euch!Kann mir einer sagen was CMESys.exe und GStore.dll genau sind und für was die sind?Hatte beim systemstart dauernd eine Fehlermeldung und da stand das drin und habe es nun über tune up in der software deaktiviert der fehler ist zwar weg aber ich würde gerne genau wissen was das für eine exe ist!Schonmal danke im Vorraus! |
Hallo?! :balla: Nochmal zu meinem Posting von vorgestern: Probiert die Anti-Trojaner-Software "a2". Der putzt alles weg. Wer liest sich schon so ne elends Latte von nem Logfile durch! :confused: ... |
@freak Die beiden Dateien sind Spyware: http://www.neuber.com/taskmanager/de...mesys.exe.html Scanne doch mal dein System mit Spybot www.safer-networking.de und Ad-aware www.lavasoft.de . Update die beiden Programme vor einem Scan. Beide Programme sind kostenlos. @edithsb Du hast anscheinend dir mal einen legalen Dialer herunterladen. Du müsstet irgendwo mal "OK" eingegeben haben. @sycoman76 Ich würde HijackThis und eScan auf jeden Fall vor A² heranziehen. |
hallo ich bin neu hier, habe auch den trojaner, habe ihn mit antivir entfernt und hier ist der log von hijackthis Logfile of HijackThis v1.97.7 Scan saved at 11:13:10, on 03.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Programme\QuickTime\qttask.exe C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\WebSecureAlert\WebSecureAlert.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRAMME\WINRAR\WinRAR.exe C:\DOKUME~1\Fabian\LOKALE~1\Temp\Rar$EX00.261\HijackThis.exe C:\WINDOWS\explorer.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm R3 - URLSearchHook: (no name) - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - (no file) O1 - Hosts: 69.20.16.183 ieautosearch O2 - BHO: (no name) - {00041A26-7033-432C-94C7-6371DE343822} - (no file) O2 - BHO: (no name) - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\bxxs5.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\WINDOWS\bxxs5.dll,DllRun O4 - HKLM\..\Run: [intdctrr] C:\WINDOWS\System32\idctup20.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: ICQ 4.1.lnk = C:\Programme\ICQLite\ICQLite.exe O4 - Startup: AntiVir (2).lnk = C:\Programme\AVPersonal\AVWIN.EXE O4 - Startup: Verknüpfung mit Updaten.lnk = C:\Dokumente und Einstellungen\Fabian\Desktop\Updaten.exe O4 - Startup: Verknüpfung mit TiberianWars.lnk = C:\Dokumente und Einstellungen\Fabian\Desktop\TiberianWars.exe O4 - Startup: ICQ 4.1 (2).lnk = C:\Programme\ICQLite\ICQLite.exe O4 - Startup: Verknüpfung mit Kill Tracker.exe.lnk = E:\Ja mods\Jk3 KILL TRACKER\Kill Tracker.exe O4 - Startup: Verknüpfung mit Jed Academy Minimizer.exe.lnk = E:\Ja mods\jaminimizer\Jed Academy Minimizer.exe O4 - Startup: Download Plus.lnk = C:\Dokumente und Einstellungen\Fabian\Anwendungsdaten\DownloadPlus.exe O4 - Global Startup: WebSecureAlert.lnk = C:\Programme\WebSecureAlert\WebSecureAlert.exe O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: ICQ 4.1 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O10 - Broken Internet access because of LSP provider 'xfire_lsp_8742.dll' missing O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab danke im voraus :lach: edit: vorhin habt ihr dateien angegeben, die hab ich schon gelöscht(in hi jack this) |
|
óky :D Logfile of HijackThis v1.98.2 Scan saved at 18:11:11, on 03.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Programme\QuickTime\qttask.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\WebSecureAlert\WebSecureAlert.exe C:\Programme\AVPersonal\AVWIN.EXE C:\Dokumente und Einstellungen\Fabian\Desktop\TiberianWars.exe E:\Ja mods\Jk3 KILL TRACKER\Kill Tracker.exe E:\Ja mods\jaminimizer\Jed Academy Minimizer.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\The All-Seeing Eye\eye.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\Fabian\Desktop\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-sea...ook=stmpl1&fw= R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm R3 - URLSearchHook: (no name) - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - (no file) O1 - Hosts: 69.20.16.183 ieautosearch O2 - BHO: (no name) - {00041A26-7033-432C-94C7-6371DE343822} - (no file) O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\bxxs5.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\WINDOWS\bxxs5.dll,DllRun O4 - HKLM\..\Run: [intdctrr] C:\WINDOWS\System32\idctup20.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: ICQ 4.1.lnk = C:\Programme\ICQLite\ICQLite.exe O4 - Startup: AntiVir (2).lnk = C:\Programme\AVPersonal\AVWIN.EXE O4 - Startup: Verknüpfung mit Updaten.lnk = C:\Dokumente und Einstellungen\Fabian\Desktop\Updaten.exe O4 - Startup: Verknüpfung mit TiberianWars.lnk = C:\Dokumente und Einstellungen\Fabian\Desktop\TiberianWars.exe O4 - Startup: ICQ 4.1 (2).lnk = C:\Programme\ICQLite\ICQLite.exe O4 - Startup: Verknüpfung mit Kill Tracker.exe.lnk = E:\Ja mods\Jk3 KILL TRACKER\Kill Tracker.exe O4 - Startup: Verknüpfung mit Jed Academy Minimizer.exe.lnk = E:\Ja mods\jaminimizer\Jed Academy Minimizer.exe O4 - Startup: Download Plus.lnk = C:\Dokumente und Einstellungen\Fabian\Anwendungsdaten\DownloadPlus.exe O4 - Global Startup: WebSecureAlert.lnk = C:\Programme\WebSecureAlert\WebSecureAlert.exe O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O10 - Broken Internet access because of LSP provider 'xfire_lsp_8742.dll' missing O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab der aktuelle |
Die Datei C:\WINDOWS\bxxs5.dll im abgesicherten Modus löschen! Dies mit HijackThis fixen: R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-se...look=stmpl1&fw= R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm R3 - URLSearchHook: (no name) - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - (no file) O1 - Hosts: 69.20.16.183 ieautosearch O2 - BHO: (no name) - {00041A26-7033-432C-94C7-6371DE343822} - (no file) O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\bxxs5.dll O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\WINDOWS\bxxs5.dll,DllRun O10 - Broken Internet access because of LSP provider 'xfire_lsp_8742.dll' missing O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab Unbedingt www.windowsupdate.com besuchen und alle Updates und Patches installieren. Mach anschl. mal einen Scan mit eScan im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083 |
so, ich hab kaspersky drüberlaufen lassen aba, vorher NICHT bxxs5.dll gelöscht, und hab folgende (intressante) ergebnisse gesehn Tue Oct 05 17:12:37 2004 => Total Files Scanned: 2583 Tue Oct 05 17:12:37 2004 => Total Virus(es) Found: 12 Tue Oct 05 17:12:37 2004 => Total Disinfected Files: 0 Tue Oct 05 17:12:37 2004 => Total Files Renamed: 0 Tue Oct 05 17:12:37 2004 => Total Deleted Files: 0 Tue Oct 05 17:12:37 2004 => Total Errors: 1 Tue Oct 05 17:12:37 2004 => Time Elapsed: 00:09:34 Tue Oct 05 17:12:37 2004 => Virus Database Date: 2004/10/04 Tue Oct 05 17:12:37 2004 => Virus Database Count: 105056 File C:\WINDOWS\bxxs5.dll infected by "not-a-virus:AdvWare.BookedSpace.c" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\H@tKeysH@@k.DLL tagged as not-a-virus:Cracker.Game.HotHook.dll. No Action Taken. File C:\WINDOWS\System32\vvoxb410.dll infected by "not-a-virus:AdvWare.Look2Me.k" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\atd.dll infected by "not-a-virus:AdvWare.Look2Me.k" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\AcsProxy.dll infected by "not-a-virus:AdvWare.Toolbar.FWN.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\newdevin.exe infected by "not-a-virus:AdvWare.BookedSpace.c" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\IF01.exe infected by "not-a-virus:AdvWare.Look2Me.n" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\449166.exe infected by "not-a-virus:AdvWare.Beginto.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\winb2s32.dll infected by "not-a-virus:AdvWare.Beginto.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\reg6523.exe infected by "not-a-virus:AdvWare.Beginto.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\AwtPanel.dll infected by "not-a-virus:AdvWare.Look2Me.k" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\AxtPanel.dll infected by "not-a-virus:AdvWare.Look2Me.k" Virus. Action Taken: No Action Taken. hjt hab ich gemacht |
Hallo Trampi, lade Dir hier Spybot-Search & Destroy 1.3 runter, update es online, deaktiviere die Systemwiederherstellung, scanne Deinen Rechner offline und lass die Probleme beheben. Aktiviere dann die Systemwiederherstellung und ... ... poste bitte ein neues Hijack This Logfile. SD |
neues hjt logfile, kommt sofort: Logfile of HijackThis v1.98.2 Scan saved at 22:08:16, on 06.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\WebSecureAlert\WebSecureAlert.exe C:\Programme\AVPersonal\AVWIN.EXE C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AVPersonal\INETUPD.EXE C:\Programme\Outlook Express\msimn.exe C:\Dokumente und Einstellungen\Fabian\Desktop\HijackThis.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Verknüpfung mit Jed Academy Minimizer.exe.lnk = E:\Ja mods\jaminimizer\Jed Academy Minimizer.exe O4 - Startup: ICQ 4.1.lnk = C:\Programme\ICQLite\ICQLite.exe O4 - Startup: ICQ 4.1 (2).lnk = C:\Programme\ICQLite\ICQLite.exe O4 - Startup: AntiVir (2).lnk = C:\Programme\AVPersonal\AVWIN.EXE O4 - Global Startup: WebSecureAlert.lnk = C:\Programme\WebSecureAlert\WebSecureAlert.exe O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU) O10 - Broken Internet access because of LSP provider 'xfire_lsp_8742.dll' missing hab offline gescannt und gefixt EDIT: vielen dank an alle die mir geholfen haben, der BDS/Agent.AY is weg, aba die anderen....... |
Hallo Trampi, Platform: Windows XP (WinNT 5.01.2600) und MSIE: Internet Explorer v6.00 (6.00.2600.0000) - lade Dir bitte das aktuelle Service Pack runter und update Deinen IE: www.windowsupdate.com Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, fixe mit Hijack This: O10 - Broken Internet access because of LSP provider 'xfire_lsp_8742.dll' missing Aktiviere die Systemwiederherstellung, boote in den normalen Modus. Zitat:
Beachte bitte, dass das Betriebssystem, der Browser, alle SchutzProgramme, sowie alle weitere Software stets auf dem aktuellen Stand gehalten werden muss, um einen Schutz darstellen zu können. zur Lektüre: - IE sicher konfigurieren: www.datenschutzzentrum.de. - Vorbeugende Maßnahmen: www.trojaner-info.de - Einschränktes Benutzerkonto: www.ntsvcfg.de. - www.mathematik.uni-marburg.de Poste ein neues Hijack This Logfile, wenn Du die Hinweise befolgt hast. SD |
Hallo erstmal an alle, bin neu hier und hab auch den Agent AY drauf (scheint ja ne richtige Seuche zu sein). Ich muß dazu sagen das ich mich mit Viren allgemein überhaupt nicht auskenne. Hab ertmal wie hier empfohlen ein Windows Update gemacht. Danach hab ich mit HiJack ein Log erstellt: Logfile of HijackThis v1.98.2 Scan saved at 17:00:08, on 07.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\Program Files\ASUS\Probe\AsusProb.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\Programme\Logitech\SetPoint\KEM.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\FRITZ!DSL\FritzDsl.exe C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Andi\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097159491765 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {AABB591F-CEB3-404A-A979-AA30B16CB914} (IPLabs Image Uploader 2.5) - http://asp03.photoprintit.de/microsi...eUploader2.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{42267A66-2261-4BAE-BB5B-A5851247E127}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{42267A66-2261-4BAE-BB5B-A5851247E127}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS2\Services\Tcpip\..\{42267A66-2261-4BAE-BB5B-A5851247E127}: NameServer = 192.168.122.252,192.168.122.253 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll Habe dann erstmal "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" und "C:\Programme\Gemeinsame Dateien\GMT\GMT.exe" gefixt. ....(weiter im nächsten Post) |
Danach hab ich eScan im abgesicherten Modus scannen lassen, so wie hier beschrieben wurde. Hat mir einen Virus angezeigt. Habe daruf hin im Task Manager "CMESys.exe" und "GMT.exe" beendet und die dazugehörigen Ordner gelöscht. Auch den Ordner den mir AntiVir angezeigt hat (waren lauter Buchstaben ohne Sinn, irgendwie uattsgahs oder so ähnlich. Habe dann Papierkorb geleert und System neu gestartet. Habe dann noch mal im abgesicherten Modus eScan laufen lassen und es hat mir keinen Virus mehr angezeigt. Darauf hin habe ich nochmal mit HiJack ein Log erstellt: Logfile of HijackThis v1.98.2 Scan saved at 17:17:47, on 07.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\FRITZ!DSL\Awatch.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Program Files\ASUS\Probe\AsusProb.exe C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\Programme\Logitech\SetPoint\KEM.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\FRITZ!DSL\FritzDsl.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Andi\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097159491765 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {AABB591F-CEB3-404A-A979-AA30B16CB914} (IPLabs Image Uploader 2.5) - http://asp03.photoprintit.de/microsi...eUploader2.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{42267A66-2261-4BAE-BB5B-A5851247E127}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{42267A66-2261-4BAE-BB5B-A5851247E127}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS2\Services\Tcpip\..\{42267A66-2261-4BAE-BB5B-A5851247E127}: NameServer = 192.168.122.252,192.168.122.253 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll So jetzt wollte ich euch fragen ob ich, anhand der Logs dieses Backdoorprogramm wieder los bin? Für eure Mühe bedanke ich mich schon mal recht herzlich!!! Mit freundlichen Grüßen Andi |
Antivir findet Backdoor BDS/Agent.AY hallo seit gestern hat mein bruder ihn auch [antivir] wie ich das verstanden habe, braucht jeder rechner seine individuelle lösung, was muss ich löschen? Eine grundlegende frage: was macht bds/agent.ay eigentlich? Könnte er sich über unser netzwerk mit dauer-dsl weiter verbreiten oder kann man ihn sich nur irgendwo mitherunterladen [>wo hab ich ihn her?] L O G S : Logfile of HijackThis v1.98.2 Scan saved at 17:19:35, on 07.10.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/advanced_search?hl=de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [IrMon] IrMon.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE" O4 - HKLM\..\Run: [EM_EXEC] D:\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [AVGCtrl] D:\ANTI-VIRUS\ANTIVIR\AVGCTRL.EXE /min O4 - HKLM\..\Run: [AVSCHED32] D:\ANTI-VIRUS\ANTIVIR\AVSCHED32.EXE /min O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE O4 - Startup: Encoder Agent.lnk = C:\Programme\Windows Media Components\Encoder\WMENCAGT.EXE O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Anwendungsdaten\Microsoft\Installer\{00010407-78E1-11D2-B60F-006097C998E7}\misc.exe O4 - Startup: WinZip Quick Pick.lnk = D:\PROGRA~1\WINZIP\wzqkpick.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Eigene Dateien\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Eigene Dateien\ICQLite\ICQLite.exe O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/ und e-scan: Thu Oct 07 17:48:36 2004 => Total Number of Files Scanned: 35632 Thu Oct 07 17:48:36 2004 => Total Number of Virus(es) Found: 7 Thu Oct 07 17:48:36 2004 => Total Number of Disinfected Files: 0 Thu Oct 07 17:48:36 2004 => Total Number of Files Renamed: 0 Thu Oct 07 17:48:36 2004 => Total Number of Deleted Files: 0 Thu Oct 07 17:48:36 2004 => Total Number of Errors: 0 Thu Oct 07 17:48:36 2004 => Time Elapsed: 00:26:38 Thu Oct 07 17:48:36 2004 => Virus Database Date: 2004/10/06 Thu Oct 07 17:48:36 2004 => Virus Database Count: 105234 File C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll tagged as not-a-virus:AdvWare.Gator. No Action Taken. File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll tagged as not-a-virus:AdvWare.Gator. No Action Taken. File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll tagged as not-a-virus:AdvWare.Gator. No Action Taken. File C:\Programme\Gemeinsame Dateien\GMT\GMT.exe tagged as not-a-virus:AdvWare.Gator. No Action Taken. File E:\NEW\Programme\vnc-3[1][1].3.7-x86_win32.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken. File E:\AOL Downloads\AOL5.0\pod25ins.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File F:\Counter-Strike\pod25ins.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. ich finde es toll von euch, eure freizeit auf diese weise zu verbringen vielen dank im vorraus marco |
@Andi1978 Fixe dies: O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/...bin/AvSniff.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...b?1097159491765 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab O16 - DPF: {AABB591F-CEB3-404A-A979-AA30B16CB914} (IPLabs Image Uploader 2.5) - http://asp03.photoprintit.de/micros...geUploader2.cab Ansonsten schaut es sauber aus! Du solltest jedoch SP2 von XP installieren! |
@ mafi123 Ein Backdoor könnte theoretisch den Zugriff auf dein System erlauben. Dein Log sieht sauber aus - der Backdoor ist nicht mehr drauf. Dennoch: Man kann nicht feststellen, welche Schaden der Backdoor auf deinen System hinterlassen hat. Möglicherweise ist es so manipuliert, dass auch noch jetzt ein unbemerkter Zugriff stattfinden kann. Das sicherste wäre - wie bei allen Backdoorinfektionen - dies: 1.) Neu formatieren und installieren 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren 4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org 5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren 6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen 7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X) 8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können 9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen 10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten |
Zitat:
Hallo Christian, erstmal danke, das du dir die Mühe gemacht hast mir zu helfen. Hab die Sachen jetzt gefixt die du mir noch empfohlen hast. Jetzt mal ne ganz dumme Frage (bitte nicht lachen :o ): Was bewirkt dieses Fixen überhaupt? Und noch ne Frage zum SP2: Ich habe gehört das nach der Installation sehr viele Programme auf dem PC nicht mehr laufen sollen. Stimmt das? Das ist nämlich der einzige Grund warum ich den SP2 noch nicht installiert habe. Danke für die Antworten!! Mit freundlichen Grüßen Andi |
Fixen bedeutet ungefähr soviel, dass beim nächsten Systemstart die Einträge nicht mehr geladen werden und aus der Registry gelöscht werden. Das mit dem SP2 kann ich dir nicht sagen ... Jedoch solltest du wissen, dass mit dem SP2 einige wichtige Sicherheitslöcher gestopft wurden. Probier's einfach mal aus ... Es gibt ja die Systemwiederherstellung. ;) |
Ok, danke für die Antworten. Dann probier das SP2 mal aus. :-) |
Hallo, also ich bin ehrlich ich blick hier nicht so durch, ich hab mir escan runter geladen diesen im abgesicherten modus durchgeführt, hab einen Log der komischerweise anders aussieht als die die hier im forum stehen. Sun Oct 10 22:31:50 2004 => Total Files Scanned: 2396 Sun Oct 10 22:31:50 2004 => Total Virus(es) Found: 1 Sun Oct 10 22:31:50 2004 => Total Disinfected Files: 0 Sun Oct 10 22:31:50 2004 => Total Files Renamed: 0 Sun Oct 10 22:31:50 2004 => Total Deleted Files: 0 Sun Oct 10 22:31:50 2004 => Total Errors: 3 Sun Oct 10 22:31:50 2004 => Time Elapsed: 00:03:46 Sun Oct 10 22:31:50 2004 => Virus Database Date: 2004/10/06 Sun Oct 10 22:31:50 2004 => Virus Database Count: 105210 so und mit fixieren find ich im escan auch nix. kann mir einer helfen dieser virus geht mir ziemlich auf die nerven vielen dank |
Hallo Jeylove, Zitat:
Und poste dann bitte ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html. SD |
Wo find ich den namen von dem Virus?? und hier der Log dankee Logfile of HijackThis v1.98.2 Scan saved at 13:14:06, on 11.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~2\GEMEIN~1\aol\ACS\AOLacsd.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\apps\ABoard\ABoard.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\slserv.exe C:\apps\ABoard\AOSD.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\QuickTime\qttask.exe C:\Programme\HP\HP Software Update\HPWuSchd.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\WINDOWS\System32\HPZipm12.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\Programme\ICQ\Icq.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Jey\Desktop\hijackthis1982\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bi...e=6&key=SEARCH R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.endzeitspiel.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [mwavscan] "C:\Dokumente und Einstellungen\Jey\Desktop\11\mwavscan.com" /s O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~2\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~2\ICQ\ICQ.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~2\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~2\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm O16 - DPF: Fortune Bingo by pogo - http://game4.pogo.com/applet-5.9.5.3...-ob-assets.cab O16 - DPF: JT's Blocks - http://download.games.yahoo.com/game...s/y/blt1_x.cab O16 - DPF: Mah Jong Garden by pogo - http://game4.pogo.com/applet-5.9.5.3...-ob-assets.cab O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab27571.cab O16 - DPF: {E862C832-3A5F-4CEB-BFAA-167B22010A71} (InfosFinder2.InfosFinder) - http://support.packardbell.com/files...fosFinder2.CAB O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab28177.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1CB23DD2-2C32-4A0B-8E43-938EBD7B2E94}: NameServer = 192.168.123.252,192.168.123.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{30C15C06-0B43-45EF-8E05-24585B37945F}: NameServer = 192.168.121.252,192.168.121.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{59BB03F7-3C44-43E7-A6E3-D968C358C937}: NameServer = 205.188.146.146 O17 - HKLM\System\CS1\Services\Tcpip\..\{1CB23DD2-2C32-4A0B-8E43-938EBD7B2E94}: NameServer = 192.168.123.252,192.168.123.253 O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll |
Dies kannst du schonmal fixen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-b...se=6&key=SEARCH R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O16 - DPF: Fortune Bingo by pogo - http://game4.pogo.com/applet-5.9.5....o-ob-assets.cab O16 - DPF: JT's Blocks - http://download.games.yahoo.com/gam...ts/y/blt1_x.cab O16 - DPF: Mah Jong Garden by pogo - http://game4.pogo.com/applet-5.9.5....g-ob-assets.cab O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.co...t/c381/chat.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar...nt.cab27571.cab O16 - DPF: {E862C832-3A5F-4CEB-BFAA-167B22010A71} (InfosFinder2.InfosFinder) - http://support.packardbell.com/file...nfosFinder2.CAB O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binar...wn.cab28177.cab SP2 von XP installieren! |
[QUOTE=*Christian*]@ mafi123 Ein Backdoor könnte theoretisch den Zugriff auf dein System erlauben. Dein Log sieht sauber aus - der Backdoor ist nicht mehr drauf. Dennoch: Man kann nicht feststellen, welche Schaden der Backdoor auf deinen System hinterlassen hat. Möglicherweise ist es so manipuliert, dass auch noch jetzt ein unbemerkter Zugriff stattfinden kann. Ja, recht hat Christian, aber festellen kann man das schon, ob ein Rootkit on Board ist! LG; Charlie |
hallo zusammen, wie ich sehe wird hier fleissig geholfen :daumenhoc . es wäre super nett wenn ich mir auch helfen könntet, da ich diesen trojaner auch habe. ich habe mir die meisten fragen und antworten durchgelesen und einen hij scan und escan ausgeführt. ich hoffe die informationen reichen euch aus um mir zu helfen. dieses ist mein hij.logfile Logfile of HijackThis v1.98.2 Scan saved at 11:20:30, on 13.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\DelFin\PromulGate\PgMonitr.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\RSNet\RSEDNClient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\crypserv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Cyron.TSM17110\Desktop\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.my-r.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.games-fusion.net/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=1916 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar1.dll O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe" O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NewDotNet\NEWDOT~1.DLL,NewDotNetStartup -s O4 - HKCU\..\Run: [Red Swoosh EDN Client] C:\Programme\RSNet\RSEDNClient.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O8 - Extra context menu item: &Google Search - res://c:\windows\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward Links - res://c:\windows\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\windows\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://c:\windows\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://c:\windows\GoogleToolbar1.dll/cmtrans.html O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab O16 - DPF: {978A4DB6-D22A-4D55-B350-DAB71097BF69} (Wsd Control) - O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx O16 - DPF: {FF0C042C-98E9-4C36-B2EC-E21FDFDCEF75} (InstallCtl Class) - http://download.redswoosh.com/Installer/rsinstaller.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = uni-muenster.de O17 - HKLM\Software\..\Telephony: DomainName = uni-muenster.de O17 - HKLM\System\CCS\Services\Tcpip\..\{6BC81C17-ACF8-4ACC-ACA1-65945CC91417}: Domain = uni-muenster.de O17 - HKLM\System\CCS\Services\Tcpip\..\{6BC81C17-ACF8-4ACC-ACA1-65945CC91417}: NameServer = 128.176.0.12 128.176.0.13 O17 - HKLM\System\CCS\Services\Tcpip\..\{79BA0ECB-416A-4AC6-AC9D-0E7372647836}: NameServer = 172.16.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{B8676FD4-63D8-488B-99A2-9535177D2B2F}: Domain = uni-muenster.de O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = uni-muenster.de O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = uni-muenster.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = uni-muenster.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = uni-muenster.de O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = uni-muenster.de mein escan log sieht so aus. File C:\Programme\NewDotNet\newdotnet6_38.dll infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: No Action Taken. File C:\PROGRA~1\NewDotNet\NEWDOT~1.DLL infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: No Action Taken. File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\Programme\NewDotNet\newdotnet6_38.dll infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: No Action Taken. File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\WINDOWS\p2p-10110.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. File C:\WINDOWS\system32\cd_clint.dll infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\cd_htm.dll infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: No Action Taken. File C:\Nsc\Games\Half-Life\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken. File C:\Nsc\Games\QuakeIII\Check for Quake III Arena Updates.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Nsc\Irc\mIRC\script\dlls\moo.dll tagged as not-a-virus:Tool.Win32.Moo. No Action Taken. File C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\Programme\Save\Save.exe infected by "not-a-virus:AdvWare.SaveNow.ae" Virus. Action Taken: No Action Taken. File C:\Programme\Save\SaveUninst.exe infected by "not-a-virus:AdvWare.SaveNow.af" Virus. Action Taken: No Action Taken. File C:\WINDOWS\BDE\bdeviewer.exe infected by "Trojan.Win32.Krepper.y" Virus. Action Taken: No Action Taken. File C:\WINDOWS\p2p-10110.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. File C:\WINDOWS\system32\cd_clint.dll infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\cd_htm.dll infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: No Action Taken. File C:\WINDOWS\Temp\Adware\DelFinMediaViewer29j.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\WINDOWS\Temp\Adware\kazaa_336.exe infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: No Action Taken. File D:\Backup\Network-Communication\Irc\nnscript365.exe tagged as not-a-virus:Tool.Win32.Moo. No Action Taken. File D:\Backup\Network-Communication\iVisit28b5.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Tak ich hoffe ihr könnt mir helfen, denn mein seitenaufbau im inet is so langsam. ansonsten habe ich noch keine veränderungen bemerkt. dann warte ich mal auf antwort und schonmal danke für die mühe. mfg kev |
Hallo Kevin, downloade bitte folgendes Programm:LSP-Fix. LSP-Fix wirst Du brauchen, wenn Du Einträge von 'NewDotNet' und 'Hijacked Internet access by New.Net' löscht. Es kann sein, dass Du dann Probleme hast, ins Netz zu kommen. Mit LSP-Fix kannst Du diese Probleme beheben. Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, fixe mit Hijack This: O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe" O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NewDotNet\NEWDOT~1.DLL,NewDotNetStartup -s O4 - HKCU\..\Run: [Red Swoosh EDN Client] C:\Programme\RSNet\RSEDNClient.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx wenn Du diese Einträge nicht kennst/brauchst, bitte fixen: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.my-r.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.games-fusion.net/ O8 - Extra context menu item: Backward Links - res://c:\windows\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\windows\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Similar Pages - res://c:\windows\GoogleToolbar1.dll/cmsimilar.html O16 - DPF: {978A4DB6-D22A-4D55-B350-DAB71097BF69} (Wsd Control) - O16 - DPF: {FF0C042C-98E9-4C36-B2EC-E21FDFDCEF75} (InstallCtl Class) - http://download.redswoosh.com/Installer/rsinstaller.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = uni-muenster.de O17 - HKLM\Software\..\Telephony: DomainName = uni-muenster.de O17 - HKLM\System\CCS\Services\Tcpip\..\{6BC81C17-ACF8-4ACC-ACA1-65945CC91417}: Domain = uni-muenster.de O17 - HKLM\System\CCS\Services\Tcpip\..\{6BC81C17-ACF8-4ACC-ACA1-65945CC91417}: NameServer = 128.176.0.12 128.176.0.13 O17 - HKLM\System\CCS\Services\Tcpip\..\{79BA0ECB-416A-4AC6-AC9D-0E7372647836}: NameServer = 172.16.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{B8676FD4-63D8-488B-99A2-9535177D2B2F}: Domain = uni-muenster.de O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = uni-muenster.de O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = uni-muenster.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = uni-muenster.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = uni-muenster.de O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = uni-muenster.de mit LSP-Fix löschen: O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net Boote in den normalen Modus. "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren." ---> Lösche: PgMonitr.exe" CMESys.exe" RSEDNClient.exe GMT.exe Aktiviere die Systemwiederherstellung. Wie gehst Du ins Netz? Wenn Du über die telefonische Einwahl ins Netz gehst, also nicht über DSL/ADSL, solltest Du die Einträge, die Dialer enthalten, vor dem Löschen auf Diskette sichern, für den Fall der Beweissicherung, wenn sich Deine Telefonrechnung erhöht (www.dialerschutz.de). Der eScan ab Version 4.5.1 löscht gefundene Malware nicht automatisch. Die Malware muß, - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden, siehe eScan: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" Danach die Systemwiederherstellung wieder aktivieren. Lade Dir bitte hier Spybot-Search & Destroy 1.3 runter, scanne damit Deinen Rechner und lass eventuell noch bestehende Probleme beheben. Und hier noch ein bißchen Lektüre: - www.mathematik.uni-marburg.de - IE sicher konfigurieren: www.datenschutzzentrum.de. - Einschränktes Benutzerkonto: www.ntsvcfg.de. - Vorbeugende Maßnahmen: www.trojaner-info.de Wenn Du all diese Tätigkeiten erledigt hast, erstelle bitte ein neues Hijack This Logfile und poste es. SD |
erstmal ein riesen dank an dich shadowdancer :) ich habe alles getan was du beschrieben hast, bis auf das ich alles mit einer aktiven systemwiederherstellung gemacht habe, wie deaktiviere ich die? hier ist mein neuer hijlog. Logfile of HijackThis v1.98.2 Scan saved at 15:25:49, on 13.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\crypserv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\Cyron.TSM17110\Desktop\hijackthis1982\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=1916 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar1.dll O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NewDotNet\NEWDOT~1.DLL,NewDotNetStartup -s O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &Google Search - res://c:\windows\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward Links - res://c:\windows\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\windows\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://c:\windows\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://c:\windows\GoogleToolbar1.dll/cmtrans.html O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = uni-muenster.de O17 - HKLM\Software\..\Telephony: DomainName = uni-muenster.de O17 - HKLM\System\CCS\Services\Tcpip\..\{79BA0ECB-416A-4AC6-AC9D-0E7372647836}: NameServer = 172.16.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{B8676FD4-63D8-488B-99A2-9535177D2B2F}: Domain = uni-muenster.de O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = uni-muenster.de O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = uni-muenster.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = uni-muenster.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = uni-muenster.de O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = uni-muenster.de wie ich die rausbekomme musst du mir nochmal sagen O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net du meintest mit LSPfix, aber wo sehe ich da die dateien? sorry ich habe da nicht wirklich viel ahnung von. du wolltest noch wissen wie ich ins inet gehe. ich gehe über einen router hinein und melde mich dann bei der uni-münster im rechnzentrum an. das ganze ist eine kooperation zwischen telekomm und studentenwerk. ich war schon sehr überrascht wieviel spybot findet, die sachen die das programm gefunden hat, habe ich alle bereinigt. meinen escanlog kann ich dir auch nochmal posten. nach kurzem scanen sagt escan, dass er einen virus gefunden hat, aber ich glaube, dass escan zwischen tatsächlich infizierten dateien und angeblich gefährlichen dateien nicht so genau unterscheiden kann. File C:\Programme\NewDotNet\newdotnet6_38.dll infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: No Action Taken. File C:\PROGRA~1\NewDotNet\NEWDOT~1.DLL infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: No Action Taken. File C:\WINDOWS\p2p-10110.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. File C:\Dokumente und Einstellungen\Cyron\Lokale Einstellungen\Temp\BDECache\bde2B.tmp infected by "Trojan.Win32.Krepper.y" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Cyron.TSM17110\Desktop\hijackthis1982\backups\backup-20041013-143835-192.dll infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Cyron.TSM17110\Lokale Einstellungen\Temp\BDECache\bdeEC.tmp infected by "Trojan.Win32.Krepper.y" Virus. Action Taken: No Action Taken. File C:\Nsc\Games\Half-Life\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken. File C:\Nsc\Games\QuakeIII\Check for Quake III Arena Updates.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Nsc\Games\QuakeIII\Extras\WorldNet\PCVKIT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Nsc\Irc\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken. File C:\Nsc\Irc\mIRC\script\dlls\moo.dll tagged as not-a-virus:Tool.Win32.Moo. No Action Taken. File C:\WINDOWS\p2p-10110.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. File D:\Backup\Codecs\DivXPro511Adware.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File D:\Backup\Network-Communication\freecam.exe infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: No Action Taken. File D:\Backup\Network-Communication\Irc\girc405.exe tagged as not-a-virus:Tool.Win32.Moo. No Action Taken. File D:\Backup\Network-Communication\Irc\nnscript365.exe tagged as not-a-virus:Tool.Win32.Moo. No Action Taken. File D:\Backup\Network-Communication\Irc\nnskriptmirc\mirc.rar tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken. File D:\Backup\Network-Communication\Irc\TracerScriptv1.22.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\Backup\Network-Communication\iVisit28b5.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\Backup\Programs-Ftp\Flash-MX\FlashFXP_2_Setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\Backup\Programs-Music.Videotools\After Effects\PLUG-INS\BigFX FilmFX 2.25\ffx225i.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\Backup\Programs-Music.Videotools\Swish\cd-key\Swish 2 + Keygen.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\Backup\Programs-Music.Videotools\Swish\SetupSwish200DEU.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\Backup\Programs-Music.Videotools\Swish\Swish 2.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\Games backup\Cs\bots\pod25ins.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. so da hast du wieder die aktuellen informationen. ich hoffe wir bekommen den trojaner weg. aber nochmals besten dank für deine bisherige hilf :) mfg kev |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:23 Uhr. |
Copyright ©2000-2025, Trojaner-Board