Informationsarchiv.net > Foren-Übersicht > Computerprobleme > Online- und PC-Sicherheit
Warum kostenlos registrieren?

Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.

Login


Internet hängt schon wieder /W32/Rbot-TW als STUDIO.EXE

Warnungen vor Sicherheitslücken und Hilfe beim Enfernen von Viren, Würmern und Trojanern.
Thema gesperrt

Internet hängt schon wieder /W32/Rbot-TW als STUDIO.EXE

Beitragvon BMW am 30.01.2005, 11:10

Hallo


schon wieder habe ich das selbe problem,seitdem ich mein pc neuformatiert habe hängt mein Internet nach etwa 5minuten danach öffnet sich keine seite mehr an , bitte um hilfe !


mein logfile

Logfile of HijackThis v1.99.0
Scan saved at 10:05:05, on 30.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\vgacard.exe
C:\WINDOWS\System32\Studio.exe
C:\WINDOWS\system32\defragfatx.exe
C:\WINDOWS\System32\manager32h.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Dokumente und Einstellungen\A\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [VGA Startup] vgacard.exe
O4 - HKLM\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system32\defragfatx.exe
O4 - HKLM\..\Run: [MS Manager32h Startup] manager32h.exe
O4 - HKLM\..\RunServices: [VGA Startup] vgacard.exe
O4 - HKLM\..\RunServices: [Sygate Personal Block] Studio.exe
O4 - HKLM\..\RunServices: [MS Manager32h Startup] manager32h.exe
O4 - HKCU\..\Run: [MS Manager32h Startup] manager32h.exe
O4 - HKCU\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKCU\..\Run: [VGA Startup] vgacard.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{65471B6E-A6C3-43ED-8C1E-810CBF9571E3}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
BMW
 
Beiträge: 18
Registriert: 13.08.2004, 16:03
Nach oben

Beitragvon blitzmerkÖr am 30.01.2005, 11:50

Hallo

Hast du W-Lan?

Gruss blitzmerkÖr
blitzmerkÖr
 
Beiträge: 31
Registriert: 26.01.2005, 23:24
Wohnort: St.Gallen
Nach oben

Beitragvon BMW am 30.01.2005, 12:32

blitzmerkÖr hat geschrieben:Hallo

Hast du W-Lan?

Gruss blitzmerkÖr


wLan was ist das ? :roll:


kannst du mir nicht sagen was ich anhaken soll bei hjackthis ?
BMW
 
Beiträge: 18
Registriert: 13.08.2004, 16:03
Nach oben

Beitragvon blitzmerkÖr am 30.01.2005, 12:35

W-Lan ist eine drahtlose Netzwerk/Internetverbindung. Aber wahrscheinlich hast du's nicht.

Sorry, verstehe genau nichts bei solchen Hijack-Logs, tut mir Leid.

gruss, blitzmerkÖr
blitzmerkÖr
 
Beiträge: 31
Registriert: 26.01.2005, 23:24
Wohnort: St.Gallen
Nach oben

Beitragvon BMW am 30.01.2005, 18:21

kann mir niemand helfen ????
BMW
 
Beiträge: 18
Registriert: 13.08.2004, 16:03
Nach oben

Beitragvon Nikita am 30.01.2005, 22:35

Hallo@BMW

Dein System ist total verseucht mit Viren und Backdoors

Der Wurm läuft kontinuierlich im Hintergrund und ermöglicht Backdoor-Zugriff auf den infizierten Computer.

Mit der Backdoor-Komponente von W32/Rbot-TW können folgende Funktionen gestartet werden:

Starten von Distributed-Denial-of-Service (DDoS)-Attacken.
Umleiten von TCP- und SOCKS4-Verkehr.
Remote-Login-Commandshell.
Herunterladen, Hochladen, Löschen und Ausführen von Dateien.
Einrichten eines HTTP-, TFTP- und FTP-Fileservers.
Stehlen von Kennwörtern (u. a. PayPal-Kontodaten).
Speichern von Tastenfolgen und Daten aus der Zwischenablage.
Erstellen von Bildschirmaufnahmen, Webcam-Aufnahmen und Videos.
Auflisten und Beenden von Prozessen.
Stoppen, Starten, Anhalten und Löschen von Diensten.
Öffnen und Schließen von Schwachstellen.
Portscan nach Schwachstellen auf remoten Computern.
Senden von E-Mails wie von dem remoten Anwender angegeben.
Leeren der DNS- und ARP-Caches.
Herunterfahren und Neustarten des Computers.
Hinzufügen und Löschen von Netzwerkfreigaben, Gruppen und Benutzern.
Schnüffeln in Netzwerkverkehr nach Kennwörtern.
Senden von Net-Messages.

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/

kopiere rein und poste mir die Ergebnisse vom Scann

C:\WINDOWS\System32\vgacard.exe
C:\WINDOWS\System32\Studio.exe
C:\WINDOWS\system32\defragfatx.exe
C:\WINDOWS\System32\manager32h.exe

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [VGA Startup] vgacard.exe
O4 - HKLM\..\Run: [Sygate Personal Block] Studio.exe -->W32/Rbot-TW als STUDIO.EXE
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system32\defragfatx.exe
O4 - HKLM\..\Run: [MS Manager32h Startup] manager32h.exe
O4 - HKLM\..\RunServices: [VGA Startup] vgacard.exe
O4 - HKLM\..\RunServices: [Sygate Personal Block] Studio.exe
O4 - HKLM\..\RunServices: [MS Manager32h Startup] manager32h.exe
O4 - HKCU\..\Run: [MS Manager32h Startup] manager32h.exe
O4 - HKCU\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKCU\..\Run: [VGA Startup] vgacard.exe

PC neustarten

KillBox
http://www.bleepingcomputer.com/files/killbox.php
<Delete File on Reboot

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\vgacard.exe
C:\WINDOWS\System32\Studio.exe
C:\WINDOWS\system32\defragfatx.exe
C:\WINDOWS\System32\manager32h.exe

PC neustarten

#Testversion "Antivirus Personal 5.0"
http://www.computerbase.de/downloads/so ... nti-virus/
Kaspersky-Antivirus-Final 5.0 [(Deutsch,10.062 KB, Windows)]

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

mache einen Fullscan mit dem kaspersky

<Sygate (Deutsch)Firewall--> freeversion
http://www.sygate.de/

dann poste das neue Log vom HijackThis
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon xonix am 30.01.2005, 23:53

Hi,
ich würde erst mal eine freeware durchjagen!
z.B. Anti Vir
Dann würde ich es noch ma probieren!
Wenn es dann immer noch nicht klappt würde ich mir Norten Anti Virus 2005 kaufen! Das kostet bei ebay neu 15€!
xonix
 
Beiträge: 74
Registriert: 27.09.2004, 16:43
Wohnort: Bonn
Nach oben

Beitragvon BMW am 05.02.2005, 17:24

hallo nikita

vielen dank für deine hilfe

hier mein neuer log

:o


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\ISTsvc\istsvc.exe
C:\WINDOWS\fxanbcr.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\programme\180solutions\sais.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\Programme\BullsEye Network\bin\bargains.exe
C:\WINDOWS\qlabmxun.exe
C:\WINDOWS\System32\SahAgent.exe
C:\WINDOWS\System32\Svhost.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Dokumente und Einstellungen\A\figgaz.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
c:\t-online\browser\browser.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\A\Eigene Dateien\Anti viren programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [Services] C:\WINDOWS\system32\windns.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [4TOemcG1] C:\WINDOWS\fxanbcr.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [qlabmxun] C:\WINDOWS\qlabmxun.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\System32\SahAgent.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [¢‰¸u0–4C
}ïÁzî[8C:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\fxanbcr.exe
O4 - HKLM\..\Run: [Microsoft Update] Svhost.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [¢‰¸u0Ô@ÔÁÐ]­ú"ü‰üžiC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\fxanbcr.exe
O4 - HKLM\..\Run: [¢‰¸u0Ô@ÔÁÐ]­ú"ü‰¸u0C:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\fxanbcr.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [¢‰¸u0ÔÁÐ]­ú"ü‰üžigÝC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\fxanbcr.exe
O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\Dokumente und Einstellungen\A\figgaz.exe
O4 - HKLM\..\Run: [MS Agent Protection] ag1.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [¢‰¸u0–4C
}ïÁzîžigßC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\fxanbcr.exe
O4 - HKLM\..\RunServices: [Microsoft Update] Svhost.exe
O4 - HKLM\..\RunServices: [MS Agent Protection] ag1.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [Microsoft Update] Svhost.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {011FCFF1-906B-407B-B983-FC1B78F1687F} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {011FCFF1-906B-407B-B983-FC1B78F1687F} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{6AA54AE5-8909-4D8B-A061-BDA131FBCE33}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SCA - Unknown - C:\WINDOWS\System32\SYSTEM.EXE
O23 - Service: ZESOFT - Unknown - C:\WINDOWS\zeta.exe
BMW
 
Beiträge: 18
Registriert: 13.08.2004, 16:03
Nach oben

Beitragvon Nikita am 05.02.2005, 17:38

BMW


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O4 - HKLM\..\Run: [Services] C:\WINDOWS\system32\windns.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [4TOemcG1] C:\WINDOWS\fxanbcr.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [qlabmxun] C:\WINDOWS\qlabmxun.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\System32\SahAgent.exe
O4 - HKLM\..\Run: [¢‰¸u0–4C
}ïÁzî[8C:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\fxanbcr.exe
O4 - HKLM\..\Run: [Microsoft Update] Svhost.exe
O4 - HKLM\..\Run: [¢‰¸u0Ô@ÔÁÐ]­ú"ü‰üžiC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\fxanbcr.exe
O4 - HKLM\..\Run: [¢‰¸u0Ô@ÔÁÐ]­ú"ü‰¸u0C:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\fxanbcr.exe
O4 - HKLM\..\Run: [¢‰¸u0ÔÁÐ]­ú"ü‰üžigÝC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\fxanbcr.exe
O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\Dokumente und Einstellungen\A\figgaz.exe
O4 - HKLM\..\Run: [MS Agent Protection] ag1.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [¢‰¸u0–4C
}ïÁzîžigßC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\fxanbcr.exe
O4 - HKLM\..\RunServices: [Microsoft Update] Svhost.exe
O4 - HKLM\..\RunServices: [MS Agent Protection] ag1.exe
O4 - HKCU\..\Run: [Microsoft Update] Svhost.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {011FCFF1-906B-407B-B983-FC1B78F1687F} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {011FCFF1-906B-407B-B983-FC1B78F1687F} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O23 - Service: SCA - Unknown - C:\WINDOWS\System32\SYSTEM.EXE
O23 - Service: ZESOFT - Unknown - C:\WINDOWS\zeta.exe

PC neustarten

#Gehe auf diese Seite: http://www.lavasofthelp.com/submit/
kopiere folgendes Submit)
Copy and paste the full filepaths below and hit "submit", one at a time:

kopiere rein:

C:\WINDOWS\zeta.exe
C:\Programme\SideFind\sidefind.dll
C:\WINDOWS\System32\Svhost.exe
C:\WINDOWS\System32\ag1.exe
C:\Programme\ISTsvc\istsvc.exe
[¢‰¸u0ÔÁÐ]­ú"ü‰üžigÝC:\Programme\ISTsvc\istsvc.exe
C:\Dokumente und Einstellungen\A\figgaz.exe
C:\WINDOWS\fxanbcr.exe
C:\WINDOWS\System32\SahAgent.exe
C:\Programme\Power Scan\powerscan.exe
C:\WINDOWS\qlabmxun.exe
C:\Programme\BullsEye Network\bin\bargains.exe
C:\WINDOWS\system32\windns.exe
C:\WINDOWS\nem220.dll
C:\WINDOWS\wsem303.dll
C:\Programme\SideFind\sfbho.dll
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINDOWS\System32\msbe.dll
c:\programme\180solutions\sais.exe
C:\Programme\xp-AntiSpy\sponsoring\sponsor.html
C:\Program Files\Internet Optimizer\actalert.exe

KillBox
http://www.bleepingcomputer.com/files/killbox.php
<Delete File on Reboot
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\zeta.exe
C:\Programme\SideFind\sidefind.dll
C:\WINDOWS\System32\Svhost.exe
C:\WINDOWS\System32\ag1.exe
C:\Programme\ISTsvc\istsvc.exe
[¢‰¸u0ÔÁÐ]­ú"ü‰üžigÝC:\Programme\ISTsvc\istsvc.exe
C:\Dokumente und Einstellungen\A\figgaz.exe
C:\WINDOWS\fxanbcr.exe
C:\WINDOWS\System32\SahAgent.exe
C:\Programme\Power Scan\powerscan.exe
C:\WINDOWS\qlabmxun.exe
C:\Programme\BullsEye Network\bin\bargains.exe
C:\WINDOWS\system32\windns.exe
C:\WINDOWS\nem220.dll
C:\WINDOWS\wsem303.dll
C:\Programme\SideFind\sfbho.dll
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINDOWS\System32\msbe.dll
c:\programme\180solutions\sais.exe
C:\Programme\xp-AntiSpy\sponsoring\sponsor.html
C:\Program Files\Internet Optimizer\actalert.exe

PC neustarten

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann

+ das neue Log vom HijackTHis
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon BMW am 05.02.2005, 19:53

@ hi nikita


adware logfile :

Ad-Aware SE Build 1.05
Logfile Created on:Samstag, 5. Februar 2005 18:48:41
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R27 05.02.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):18 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


05.02.2005 18:48:41 - Scan started. (Smart mode)

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 472
ThreadCreationTime : 05.02.2005 17:42:45
BasePriority : Normal


#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 532
ThreadCreationTime : 05.02.2005 17:42:47
BasePriority : Normal


#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 556
ThreadCreationTime : 05.02.2005 17:42:48
BasePriority : High


#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 604
ThreadCreationTime : 05.02.2005 17:42:50
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 616
ThreadCreationTime : 05.02.2005 17:42:50
BasePriority : Normal
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 780
ThreadCreationTime : 05.02.2005 17:42:52
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 832
ThreadCreationTime : 05.02.2005 17:42:52
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 944
ThreadCreationTime : 05.02.2005 17:42:53
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 972
ThreadCreationTime : 05.02.2005 17:42:53
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:10 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1132
ThreadCreationTime : 05.02.2005 17:42:55
BasePriority : Normal
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:11 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 1352
ThreadCreationTime : 05.02.2005 17:42:56
BasePriority : Normal
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

#:12 [htpatch.exe]
FilePath : C:\WINDOWS\
ProcessID : 1736
ThreadCreationTime : 05.02.2005 17:43:44
BasePriority : Normal


#:13 [em_exec.exe]
FilePath : C:\PROGRA~1\MOUSEW~1\SYSTEM\
ProcessID : 1748
ThreadCreationTime : 05.02.2005 17:43:44
BasePriority : Normal
FileVersion : 9.43.75
ProductVersion : 9.43
ProductName : MouseWare
CompanyName : Logitech Inc.
FileDescription : Control Center
InternalName : EM_EXEC
LegalCopyright : Copyright © Logitech Inc. 1987-2001.
LegalTrademarks : Logitech® and MouseWare® are registered trademarks of Logitech Inc.
OriginalFilename : EM_EXEC.CPP
Comments : Created by the MouseWare Team

#:14 [svhost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1808
ThreadCreationTime : 05.02.2005 17:43:47
BasePriority : Normal


#:15 [winampa.exe]
FilePath : C:\Programme\Winamp\
ProcessID : 1816
ThreadCreationTime : 05.02.2005 17:43:48
BasePriority : Normal


#:16 [avgnt.exe]
FilePath : C:\Programme\AVPersonal\
ProcessID : 1832
ThreadCreationTime : 05.02.2005 17:43:48
BasePriority : Normal


#:17 [netscp.exe]
FilePath : C:\Programme\Netscape\Netscape\
ProcessID : 1884
ThreadCreationTime : 05.02.2005 17:43:49
BasePriority : Normal


#:18 [avguard.exe]
FilePath : C:\Programme\AVPersonal\
ProcessID : 212
ThreadCreationTime : 05.02.2005 17:44:01
BasePriority : Normal


#:19 [avwupsrv.exe]
FilePath : C:\Programme\AVPersonal\
ProcessID : 200
ThreadCreationTime : 05.02.2005 17:44:01
BasePriority : Normal


#:20 [nvsvc32.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 344
ThreadCreationTime : 05.02.2005 17:44:02
BasePriority : Normal
FileVersion : 6.14.01.4304
ProductVersion : 6.14.01.4304
ProductName : NVIDIA Driver Helper Service, Version 43.04
CompanyName : NVIDIA Corporation
FileDescription : NVIDIA Driver Helper Service, Version 43.04
InternalName : NVSVC
LegalCopyright : (C) NVIDIA Corporation. All rights reserved.
OriginalFilename : nvsvc32.exe

#:21 [wuauclt.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1192
ThreadCreationTime : 05.02.2005 17:45:23
BasePriority : Normal
FileVersion : 5.4.3630.1106 (xpsp1.020828-1920)
ProductVersion : 5.4.3630.1106
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Client des automatischen Updates von Windows Update
InternalName : wuauclt.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : wuauclt.exe

#:22 [ntvdm.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1524
ThreadCreationTime : 05.02.2005 17:46:02
BasePriority : Normal
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : NTVDM.EXE
InternalName : NTVDM.EXE
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : NTVDM.EXE

#:23 [toducalc.exe]
FilePath : C:\T-ONLINE\BSW4\
ProcessID : 1896
ThreadCreationTime : 05.02.2005 17:46:07
BasePriority : Normal
FileVersion : 1.04.10
ProductVersion : 3.0
ProductName : T-Online Software
CompanyName : Drews EDV+Btx GmbH
FileDescription : T-Online DUN Connection Alive Checker
InternalName : ToDuCAlC
LegalCopyright : Copyright © Drews EDV+Btx GmbH 1999,2000
OriginalFilename : ToDuCAlC.exe

#:24 [ad-aware.exe]
FilePath : C:\Programme\Lavasoft\Ad-Aware SE Personal\
ProcessID : 1744
ThreadCreationTime : 05.02.2005 17:46:21
BasePriority : Normal
FileVersion : 6.2.0.206
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0



Deep scanning and examining files...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0

Disk Scan Result for C:\WINDOWS\System32
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0

Disk Scan Result for C:\DOKUME~1\A\LOKALE~1\Temp\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 0



MRU List Object Recognized!
Location: : S-1-5-21-3697980909-3379468007-2246325331-1005\software\microsoft\windows\currentversion\applets\wordpad\recent file list
Description : list of recent files opened using wordpad


MRU List Object Recognized!
Location: : S-1-5-21-3697980909-3379468007-2246325331-1005\software\microsoft\windows\currentversion\explorer\runmru
Description : mru list for items opened in start | run


MRU List Object Recognized!
Location: : S-1-5-21-3697980909-3379468007-2246325331-1005\software\microsoft\search assistant\acmru
Description : list of recent search terms used with the search assistant


MRU List Object Recognized!
Location: : S-1-5-21-3697980909-3379468007-2246325331-1005\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
Description : list of recently saved files, stored according to file extension


MRU List Object Recognized!
Location: : S-1-5-21-3697980909-3379468007-2246325331-1005\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
Description : list of recent programs opened


MRU List Object Recognized!
Location: : S-1-5-21-3697980909-3379468007-2246325331-1005\software\microsoft\windows\currentversion\explorer\recentdocs
Description : list of recent documents opened


MRU List Object Recognized!
Location: : S-1-5-21-3697980909-3379468007-2246325331-1005\software\microsoft\mediaplayer\player\recentfilelist
Description : list of recently used files in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-3697980909-3379468007-2246325331-1005\software\microsoft\internet explorer
Description : last download directory used in microsoft internet explorer


MRU List Object Recognized!
Location: : software\microsoft\directdraw\mostrecentapplication
Description : most recent application to use microsoft directdraw


MRU List Object Recognized!
Location: : S-1-5-21-3697980909-3379468007-2246325331-1005\software\microsoft\internet explorer\typedurls
Description : list of recently entered addresses in microsoft internet explorer


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct3d


MRU List Object Recognized!
Location: : S-1-5-21-3697980909-3379468007-2246325331-1005\software\microsoft\windows\currentversion\applets\regedit
Description : last key accessed using the microsoft registry editor


MRU List Object Recognized!
Location: : S-1-5-21-3697980909-3379468007-2246325331-1005\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct X


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


MRU List Object Recognized!
Location: : S-1-5-18\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


MRU List Object Recognized!
Location: : S-1-5-21-3697980909-3379468007-2246325331-1005\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


MRU List Object Recognized!
Location: : C:\Dokumente und Einstellungen\A\recent
Description : list of recently opened documents



Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 18

18:48:58 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:00:17.281
Objects scanned:54899
Objects identified:0
Objects ignored:0
New critical objects:0



hjickthis :

Logfile of HijackThis v1.99.0
Scan saved at 18:49:52, on 05.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\Svhost.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Dokumente und Einstellungen\A\Eigene Dateien\Anti viren programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Microsoft Update] Svhost.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [¢‰¸u0Ô@ÔÁÐ]­ú"ü‰üžiC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\fxanbcr.exe
O4 - HKLM\..\Run: [¢‰¸u0Ô@ÔÁÐ]­ú"ü‰¸u0C:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\fxanbcr.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [¢‰¸u0ÔÁÐ]­ú"ü‰üžigÝC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\fxanbcr.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [¢‰¸u0–4C
}ïÁzîžigßC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\fxanbcr.exe
O4 - HKLM\..\Run: [¢‰¸u0+¿ükü]mú*àaîžiC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\fxanbcr.exe
O4 - HKLM\..\RunServices: [Microsoft Update] Svhost.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Microsoft Update] Svhost.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6AA54AE5-8909-4D8B-A061-BDA131FBCE33}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
BMW
 
Beiträge: 18
Registriert: 13.08.2004, 16:03
Nach oben

Beitragvon Nikita am 05.02.2005, 20:11

@BMW


W32/Rbot-PI ist ein IRC-Backdoortrojaner und ein Netzwerkwurm für die Windows-Plattfrom. Der Wurm kann sich auf remote Netzwerkfreigaben und auf Computer verbreiten, die für häufige Schwachstellen anfällig sind.

W32/Rbot-PI ist ein IRC-Backdoortrojaner und ein Netzwerkwurm.

W32/Rbot-PI kann sich auf remote Netzwerkfreigaben und auf Computer verbreiten, die für häufige Schwachstellen anfällig sind. Der Wurm öffnet auch eine Backdoor, die unbefugten Fernzugriff auf den infizierten Computer über das IRC-Netzwerk ermöglicht, während er als Dienstprozess im Hintergrund läuft.

W32/Rbot-PI kann Befehle von einem remoten Angreifer erhalten, um Netzwerkfreigaben zu löschen, Tastenfolgen zu speichern, an DDoS-Attacken teilzunehmen, andere Computer nach Schwachstellen zu durchsuchen, Kennwörter zu stehlen, Registrierungsschlüssel für Computerspiele zu stehlen, Antiviren- und Firewall-Prozesse zu beenden, Zugriff auf Antiviren-Websites zu blockieren, lokale Administratorkonten zu erstellen und Video-Aufnahmen von Webcams zu erstellen, die an den Computer angeschlossen sind.

Gehe in die Registry

Start<Ausfuehren<regedit

Bearbeiten--> Suchen

kopiere rein:

¢‰¸u0Ô@ÔÁÐ]­ú"ü‰üž

ISTsv

fxanbcr.ex

istsvc.ex

Svhost.exe
----------------------------------------------------------------------------------------
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
loesche:
Microsoft Update = "svhost.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices\
loesche:
Microsoft Update = "svhost.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
loesche:
Microsoft Update = "svhost.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
loesche:
Microsoft Update = "svhost.exe"

W32/Rbot-PI versucht außerdem, die folgenden Registrierungseinträge zu erstellen:

HKLM\SOFTWARE\Microsoft\Ole\
EnableDCOM = "N"--> aendere in Y

HKLM\SYSTEM\ControlSet001\Control\Lsa\
restrictanonymous = 1--> aendere in 0

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\
restrictanonymous = 1 --> aendere in 0

HKCU\Software\Microsoft\OLE\
loesche:
Microsoft Update = "svhost.exe"

HKLM\SYSTEM\ControlSet001\Control\Lsa\
loesche:
Microsoft Update = "svhost.exe"

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\
loesche:
Microsoft Update = "svhost.exe"

HKLM\SOFTWARE\Microsoft\Ole\
loesche:
Microsoft Update = "svhost.exe"

loesche rechts in der Registry alles was du findest (mit rechtsklick)

schliesse die Registry

Fixe mit dem HijackThis:
O4 - HKLM\..\Run: [Microsoft Update] Svhost.exe
O4 - HKLM\..\Run: [¢‰¸u0Ô@ÔÁÐ]­ú"ü‰üžiC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\fxanbcr.exe
O4 - HKLM\..\Run: [¢‰¸u0Ô@ÔÁÐ]­ú"ü‰¸u0C:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\fxanbcr.exe
O4 - HKLM\..\Run: [¢‰¸u0ÔÁÐ]­ú"ü‰üžigÝC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\fxanbcr.exe
O4 - HKLM\..\Run: [¢‰¸u0–4C
}ïÁzîžigßC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\fxanbcr.exe
O4 - HKLM\..\Run: [¢‰¸u0+¿ükü]mú*àaîžiC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\fxanbcr.exe
O4 - HKLM\..\RunServices: [Microsoft Update] Svhost.exe
O4 - HKCU\..\Run: [Microsoft Update] Svhost.exe

PC neustarten

Loesche mit der Killbox:
C:\Programme\ISTsvc\istsvc.exe
C:\WINDOWS\System32\Svhost.exe

neustarten

kopiere oben in das Browserfenster rein:
securityresponse.symantec.com/avcenter/FxIstbar.exe

lade das Tool und scanne

Mache Onlinescanns, um den Backdoor zu loeschen : (berichte, was gefunden wurde)

#McAfee FreeScan (Online)
www.mcafee.com/myapps/mfs/default.asp

#BitDefender Scan
www.bitdefender.com/scan/Msie/index.php

#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml

+ poste das neue Log vom HijackThis
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben
Thema gesperrt

Ähnliche Themen

Internet problem
Forum: Software-Hilfe
Autor: noodlez
Antworten:
PC hängt sich beim Runterladen mit flashget auf
Forum: Software-Hilfe
Autor: Anonymous
Antworten:
Fernsehen über Internet
Forum: Off-Topic Hilfe
Autor: Anonymous
Antworten:
Amilo A - Sound - Internet-Telefonie (PC<->PC) - Echo
Forum: Hardware-Hilfe
Autor: chriskmuc
Antworten:
Andauernd CRC Fehler, alles schon probiert bis auf....
Forum: Hardware-Hilfe
Autor: barthosch
Antworten:
Nach oben

Zurück zu Online- und PC-Sicherheit

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Deutsche Übersetzung durch phpBB.de
phpBB SEO