<nikita - bitte hilfe!!!!
3 Beiträge • Seite 1 von 1
<nikita - bitte hilfe!!!!
von network-mama am 28.12.2004, 18:32
heute mal wieder mit einem großauftrag 
bin bei meiner kollegin - hat probleme mit viren. angeblich hat ihr eigener web-anbieter seit einem jahr einen virus online, den sie nicht wegbekommen und deren kunden automatisch beim einloggen downloaden.
ok - hab mit kaspersky geprüft. 17 funde - alle gelöscht. hier das hijack-log:Logfile of HijackThis v1.99.0
Scan saved at 17:29:14, on 28.12.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\system32\MSTask.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\WINNT\system32\internat.exe
C:\Programme\Fiery\Command WorkStation 4\CWS 4.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Parmetler\Lokale Einstellungen\Temp\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.aon.at/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.shop-bauer.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aon.at/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aon.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von A-Online
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Compliant] winole.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\RunServices: [Windows Compliant] winole.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Windows Compliant] winole.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Command WorkStation 4.lnk = C:\Programme\Fiery\Command WorkStation 4\CWS 4.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Click ... dge-c7.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{01C4A7F7-E9BB-40F8-85EE-706B3990255C}: NameServer = 192.168.1.250
O17 - HKLM\System\CCS\Services\Tcpip\..\{A54084FD-4C86-4302-AC85-B7720C92849F}: NameServer = 195.3.96.67,195.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADE32D4A-D673-4BC9-ADAA-0518D4E5E075}: NameServer = 195.3.96.67 195.3.96.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{01C4A7F7-E9BB-40F8-85EE-706B3990255C}: NameServer = 192.168.1.250
O17 - HKLM\System\CS2\Services\Tcpip\..\{01C4A7F7-E9BB-40F8-85EE-706B3990255C}: NameServer = 192.168.1.250
O23 - Service: Ati HotKey Poller - Unknown - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AVP Control Centre Service - Kaspersky Labs. - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
O23 - Service: pcAnywhere Host Service - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: KAV Monitor Service - Kaspersky Labs. - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Windows Update Service - Unknown - C:\WINNT\system32\wupdated.exe (file missing)
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Windows Update Service - Unknown - C:\WINNT\system32\wupdated.exe (file missing)
kannst du damit was anfangen? ist ein firmen-pc
liebe grüße, network-mama..... ab morgen im warmen wasser
many thanks
den pc von meinem bruder mach ich nach meiner rückkehr.... nicht das du wieder denkst, ich mache nichts *smile*
- network-mama
- Beiträge: 177
- Registriert: 05.05.2004, 21:06
- Wohnort: Vulkanland
von Nikita am 28.12.2004, 21:31
Hallo@
Zuerst einmal muss Windows auf SP4 geupdatet werden.
------------------------------------------------------------------------------------------
#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
Lade: mwav.exe
http://bilder.informationsarchiv.net/Nikitas_Tools/
mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavup.exe (Update- in DOS) ausführen
-->noch nicht scannen (erst im abgesicheten Modus)
Gehe in die Registry
Start<Ausfuehren<regedit
HKEY_LOCAL_MACHINE\SOFTWARE\
loeschen (komplett ! )
TFTPD32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
"DisableWebDAV"="00000001" (muss dastehen)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
"EnableDCOM"="N" -->veraendern (mit rechtsklick) in Y
"EnableRemoteConnect"="N" ->veraendern (mit rechtsklick) in Y
Loesche: (rechts den Eintrag :C:\WINNT\system32\\Wupdated.exe.-->falls er existiert
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
# HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices
schliesse die Registry
So wird der Dienst deaktiviert:
Start-> Einstellungen-> Systemsteuerung-> Verwaltung-> Computerverwaltung und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Windows Update Service " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"Windows Update Service " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der "Windows Update Service " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.
Start<Ausfuehren schreibe rein: cmd
DOS oeffnet sich
kopiere rein:
del C:\WINNT\system32\wupdated.exe
klicke "enter"
del C:\WINNT\system32\winole.exe
klicke "enter"
del C:\WINDOWS\Downloaded Program Files\bridge.dll
klicke "enter"
gehe in den abgesicherten Modus-->F8 druecken, wenn der PC hochfaehrt und sich als Administrator im abgesicherten Modus anmelden
http://www.tu-berlin.de/www/software/vi ... mode.shtml
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen->falls das alles noch da ist
O4 - HKLM\..\Run: [Windows Compliant] winole.exe
O4 - HKLM\..\RunServices: [Windows Compliant] winole.exe
O4 - HKCU\..\Run: [Windows Compliant] winole.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Click ... dge-c7.cab
O23 - Service: Windows Update Service - Unknown - C:\WINNT\system32\wupdated.exe (file missing)
O23 - Service: Windows Update Service - Unknown - C:\WINNT\system32\wupdated.exe (file missing)
->> Button "Fix checked"
suche und loesche:
<C:\WINNT\system32\wupdated.exe
<C:\WINNT\system32\wmpx.exe.
<C:\WINNT\system32\winole.exe -->WinOLE.exe (572,928) , which is a Trojan Horse
suchen und loeschen.
* Click.exe (32,768), which is a Hacktool
* SFind.exe (266,752), which is a Hacktool
* Wmpx.exe (43,383), which is a Hacktool.DoS
# Deploy.bat (274)
# Unrar.bat (169)
# Wx11.bat (109)
# Wx12.bat (194)
# Start.dll (6,153), which is an IRC script file
# Jesus.dll (4,254), which is an IRC script file
# LucomServer.dll (802), which is an IRC script file
# Msoft.dll (206), which is an IRC script file
# Users.dll (75,017), which contains many IRC nicknames
# Reg.reg (773)
# Service.txt (176)
# Wx12.exe (19,618), which the Trojan uses to exploit the DCOM RPC vulnerability
# Bot.rar
* Bnc.cfg (76)
* Cygwin1.dll (971,080)
* Drvx.dll (2,853)
* Clear.exe (28,672)
* CRC.exe (24,096)
* Dhcpp.exe (69,632)
* Events.exe (134,656)
* Nctl.exe (569,344)
* Pslist.exe (49,152)
* Q019204.exe (21,584)
* Service.exe (63,488)
* UnRAR.exe (194,048)
loeschen:
C:\RECYCLER\S-1-5-21-57989841-1715567821-725345543-1004\LOGS + alle Unterordner
[Bot.rar]
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.
mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein
jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
dann poste das hier :
Dienste anzeigen:
#Scrolle bis zu Mitte dieser Seite und lade:
get_active_services_179.zip --> entpacken -->
http://computercops.biz/postp237756.html
gehe in den abgesicherten Modus (du must als Administrator angemeldet sein)
http://www.tu-berlin.de/www/software/vi ... mode.shtml
öffnen --> Active.txt-->es öffnet sich der [Texteditor]-->
-->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
StartupList 1.20
http://bilder.informationsarchiv.net/Nikitas_Tools/
klicke : startuplist.exe und
kopiere die startuplist.txt ind Forum
und auch noch mal das komplette Log vom HijackThis
Zuerst einmal muss Windows auf SP4 geupdatet werden.
------------------------------------------------------------------------------------------
#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
Lade: mwav.exe
http://bilder.informationsarchiv.net/Nikitas_Tools/
mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavup.exe (Update- in DOS) ausführen
-->noch nicht scannen (erst im abgesicheten Modus)
Gehe in die Registry
Start<Ausfuehren<regedit
HKEY_LOCAL_MACHINE\SOFTWARE\
loeschen (komplett ! )
TFTPD32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
"DisableWebDAV"="00000001" (muss dastehen)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
"EnableDCOM"="N" -->veraendern (mit rechtsklick) in Y
"EnableRemoteConnect"="N" ->veraendern (mit rechtsklick) in Y
Loesche: (rechts den Eintrag :C:\WINNT\system32\\Wupdated.exe.-->falls er existiert
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
# HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices
schliesse die Registry
So wird der Dienst deaktiviert:
Start-> Einstellungen-> Systemsteuerung-> Verwaltung-> Computerverwaltung und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Windows Update Service " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"Windows Update Service " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der "Windows Update Service " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.
Start<Ausfuehren schreibe rein: cmd
DOS oeffnet sich
kopiere rein:
del C:\WINNT\system32\wupdated.exe
klicke "enter"
del C:\WINNT\system32\winole.exe
klicke "enter"
del C:\WINDOWS\Downloaded Program Files\bridge.dll
klicke "enter"
gehe in den abgesicherten Modus-->F8 druecken, wenn der PC hochfaehrt und sich als Administrator im abgesicherten Modus anmelden
http://www.tu-berlin.de/www/software/vi ... mode.shtml
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen->falls das alles noch da ist
O4 - HKLM\..\Run: [Windows Compliant] winole.exe
O4 - HKLM\..\RunServices: [Windows Compliant] winole.exe
O4 - HKCU\..\Run: [Windows Compliant] winole.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Click ... dge-c7.cab
O23 - Service: Windows Update Service - Unknown - C:\WINNT\system32\wupdated.exe (file missing)
O23 - Service: Windows Update Service - Unknown - C:\WINNT\system32\wupdated.exe (file missing)
->> Button "Fix checked"
suche und loesche:
<C:\WINNT\system32\wupdated.exe
<C:\WINNT\system32\wmpx.exe.
<C:\WINNT\system32\winole.exe -->WinOLE.exe (572,928) , which is a Trojan Horse
suchen und loeschen.
* Click.exe (32,768), which is a Hacktool
* SFind.exe (266,752), which is a Hacktool
* Wmpx.exe (43,383), which is a Hacktool.DoS
# Deploy.bat (274)
# Unrar.bat (169)
# Wx11.bat (109)
# Wx12.bat (194)
# Start.dll (6,153), which is an IRC script file
# Jesus.dll (4,254), which is an IRC script file
# LucomServer.dll (802), which is an IRC script file
# Msoft.dll (206), which is an IRC script file
# Users.dll (75,017), which contains many IRC nicknames
# Reg.reg (773)
# Service.txt (176)
# Wx12.exe (19,618), which the Trojan uses to exploit the DCOM RPC vulnerability
# Bot.rar
* Bnc.cfg (76)
* Cygwin1.dll (971,080)
* Drvx.dll (2,853)
* Clear.exe (28,672)
* CRC.exe (24,096)
* Dhcpp.exe (69,632)
* Events.exe (134,656)
* Nctl.exe (569,344)
* Pslist.exe (49,152)
* Q019204.exe (21,584)
* Service.exe (63,488)
* UnRAR.exe (194,048)
loeschen:
C:\RECYCLER\S-1-5-21-57989841-1715567821-725345543-1004\LOGS + alle Unterordner
[Bot.rar]
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.
mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein
jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
dann poste das hier :
Dienste anzeigen:
#Scrolle bis zu Mitte dieser Seite und lade:
get_active_services_179.zip --> entpacken -->
http://computercops.biz/postp237756.html
gehe in den abgesicherten Modus (du must als Administrator angemeldet sein)
http://www.tu-berlin.de/www/software/vi ... mode.shtml
öffnen --> Active.txt-->es öffnet sich der [Texteditor]-->
-->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
StartupList 1.20
http://bilder.informationsarchiv.net/Nikitas_Tools/
klicke : startuplist.exe und
kopiere die startuplist.txt ind Forum
und auch noch mal das komplette Log vom HijackThis
Zuletzt geändert von Nikita am 29.05.2005, 11:42, insgesamt 1-mal geändert.
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von network-mama am 03.01.2005, 19:09
Hallo Nikita!
Der Freund meiner Bekannten konnte nicht warten, bis ich wieder zu Hause bin und hat gleich eigenmächtig alles neu aufgesetzt. 
Diesmal auf Win XP. Er meint, jetzt funzt alles.
So war unser beide Mühe wohl umsonst. Nun denn, ich möchte mich trotzdem mal wieder super bei dir bedanken!
D A N K E
network-mama
Der Freund meiner Bekannten konnte nicht warten, bis ich wieder zu Hause bin
und hat gleich eigenmächtig alles neu aufgesetzt. Diesmal auf Win XP. Er meint, jetzt funzt alles.
So war unser beide Mühe wohl umsonst. Nun denn, ich möchte mich trotzdem mal wieder super bei dir bedanken!
D A N K E
network-mama
- network-mama
- Beiträge: 177
- Registriert: 05.05.2004, 21:06
- Wohnort: Vulkanland
3 Beiträge • Seite 1 von 1
Ähnliche Themen
| NIKITA hilf mir bitte, du kennst dich da sicher aus!!!! Forum: Online- und PC-Sicherheit Autor: Cowboy_bebop Antworten: 1 |
MSN Virus XInstall?Nikita hilf mir Bitte!!!!Bitte Hilf mir:( Forum: Online- und PC-Sicherheit Autor: ky Antworten: 11 |
VIRUS HILFE ( Nikita ?? ) Forum: Online- und PC-Sicherheit Autor: candy Antworten: 56 |
Brauch wieder deine hilfe NIKITA ^^ Forum: Online- und PC-Sicherheit Autor: Hagi HagiMe Antworten: 1 |
evt. Virus nikita benötige deine Hilfe Forum: Online- und PC-Sicherheit Autor: molly77 Antworten: 10 |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste