HijackThis-Log // W32.Spybot.Worm
4 Beiträge • Seite 1 von 1
HijackThis-Log // W32.Spybot.Worm
von otto77 am 02.02.2005, 22:20
Hallo!
Ich habe folgendes Problem:
Vorgeschichte (ca. seit einer Woche):
Nachdem mein Rechner hochgefahren und die Internetverbindung hergestellt worden war, startete Firefox automatisch und lud die Seite h**p://j0r.biz. Danach konnte ich im Statusfenster der Internetverbindung sehen, dass erheblicher Traffic herrschte. Norton und Spybot haben keinen Virus o.Ä. entdecken können. Ebenso Ad-Aware und CWSShredder, die ich auch installiert hatte.
Nun hat Norton gestern aktuelle Virendefinitionen heruntergeladen und meldete danach, dass er in der Datei neomonap23.exe den Virus W32.Spybot.Worm gefunden hat und die Datei löschte. Ebenso hat er in der Datei TFTP2672 einen unbekannten Virus entdeckt und auch diese Datei gelöscht.
Jetzt läuft Firefox wieder normal und auch der Traffic scheint wieder normal zu sein. Allerdings bin ich jetzt doch recht unsicher, ob mein System nun wieder "sauber" ist... Und ich wollte auch nicht direkt alles formatieren...
Kann vielleicht jemand mal einen Blick auf den HijackThis-Logfile werfen?
Vielen, vielen Dank im voraus, otto.
- - - - - - - - - - - - - - - - - - - -
Logfile of HijackThis v1.99.0
Scan saved at 21:10:33, on 02.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\EzButton\CplBTQ00.EXE
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\X-Lite\X-Lite.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\Wtablet\TabUserW.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\UrlFixer\UrlFixer.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\totalcmd\TOTALCMD.EXE
E:\temp\hijack\hijackthis\pruefung.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CplBTQ00] C:\Programme\EzButton\CplBTQ00.EXE
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [MOJNPluginSrIvcs] neomonap23.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\RunServices: [MOJNPluginSrIvcs] neomonap23.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [XSC SIP Client] "C:\Programme\X-Lite\X-Lite.exe"
O4 - HKCU\..\Run: [CUCore Agent] "C:\PROGRA~1\GEMEIN~1\FIRSTV~1\ConfAgent.exe /minimize"
O4 - HKCU\..\Run: [MOJNPluginSrIvcs] neomonap23.exe
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Startup: UrlFixer.lnk = C:\Programme\UrlFixer\UrlFixer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
O12 - Plugin for .ssc: C:\WINDOWS\Downloaded Program Files\Ubizen\SmartStart\NPSmartStart32.dll
O16 - DPF: {52A5CD24-64C6-4BAF-A4EC-4D13F451763F} - h**ps://www.cuworld.com/PIC/inner_pic/packages/CUworld.cab
O16 - DPF: {94B964F0-45CC-11D4-9F1D-0060085C7782} (Version Class) - h**ps://www.dexia-bil.lu/multisecure/smartstart/Win32/SmartStartSetup.cab
O23 - Service: BrSplService - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: InCD Helper - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
O23 - Service: CHIPDRIVE SCARD Service - Towitoko AG - C:\WINDOWS\SCARDS32.EXE
- - - - - - - - - -
Ich habe folgendes Problem:
Vorgeschichte (ca. seit einer Woche):
Nachdem mein Rechner hochgefahren und die Internetverbindung hergestellt worden war, startete Firefox automatisch und lud die Seite h**p://j0r.biz. Danach konnte ich im Statusfenster der Internetverbindung sehen, dass erheblicher Traffic herrschte. Norton und Spybot haben keinen Virus o.Ä. entdecken können. Ebenso Ad-Aware und CWSShredder, die ich auch installiert hatte.
Nun hat Norton gestern aktuelle Virendefinitionen heruntergeladen und meldete danach, dass er in der Datei neomonap23.exe den Virus W32.Spybot.Worm gefunden hat und die Datei löschte. Ebenso hat er in der Datei TFTP2672 einen unbekannten Virus entdeckt und auch diese Datei gelöscht.
Jetzt läuft Firefox wieder normal und auch der Traffic scheint wieder normal zu sein. Allerdings bin ich jetzt doch recht unsicher, ob mein System nun wieder "sauber" ist... Und ich wollte auch nicht direkt alles formatieren...
Kann vielleicht jemand mal einen Blick auf den HijackThis-Logfile werfen?
Vielen, vielen Dank im voraus, otto.
- - - - - - - - - - - - - - - - - - - -
Logfile of HijackThis v1.99.0
Scan saved at 21:10:33, on 02.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\EzButton\CplBTQ00.EXE
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\X-Lite\X-Lite.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\Wtablet\TabUserW.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\UrlFixer\UrlFixer.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\totalcmd\TOTALCMD.EXE
E:\temp\hijack\hijackthis\pruefung.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CplBTQ00] C:\Programme\EzButton\CplBTQ00.EXE
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [MOJNPluginSrIvcs] neomonap23.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\RunServices: [MOJNPluginSrIvcs] neomonap23.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [XSC SIP Client] "C:\Programme\X-Lite\X-Lite.exe"
O4 - HKCU\..\Run: [CUCore Agent] "C:\PROGRA~1\GEMEIN~1\FIRSTV~1\ConfAgent.exe /minimize"
O4 - HKCU\..\Run: [MOJNPluginSrIvcs] neomonap23.exe
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Startup: UrlFixer.lnk = C:\Programme\UrlFixer\UrlFixer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
O12 - Plugin for .ssc: C:\WINDOWS\Downloaded Program Files\Ubizen\SmartStart\NPSmartStart32.dll
O16 - DPF: {52A5CD24-64C6-4BAF-A4EC-4D13F451763F} - h**ps://www.cuworld.com/PIC/inner_pic/packages/CUworld.cab
O16 - DPF: {94B964F0-45CC-11D4-9F1D-0060085C7782} (Version Class) - h**ps://www.dexia-bil.lu/multisecure/smartstart/Win32/SmartStartSetup.cab
O23 - Service: BrSplService - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: InCD Helper - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
O23 - Service: CHIPDRIVE SCARD Service - Towitoko AG - C:\WINDOWS\SCARDS32.EXE
- - - - - - - - - -
- otto77
- Beiträge: 2
- Registriert: 02.02.2005, 22:14
von Nikita am 04.02.2005, 17:04
Hallo@otto77
Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/
kopiere rein:
C:\WINDOWS\System32\neomonap23.exe
poste mir das Ergebnis
-------------------------------------------------------------------------------------
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O4 - HKLM\..\Run: [MOJNPluginSrIvcs] neomonap23.exe
O4 - HKLM\..\RunServices: [MOJNPluginSrIvcs] neomonap23.exe
O4 - HKCU\..\Run: [MOJNPluginSrIvcs] neomonap23.exe
neustarten
Loesche:
neomonap23.exe
#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.
#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
Lade TrojanHunter--> Fullscan
http://www.antivirus-online.de/german/c ... hp3?a=1204
#BitDefender Scan
www.bitdefender.com/scan/Msie/index.php
#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml
#McAfee FreeScan (Online)
www.mcafee.com/myapps/mfs/default.asp
Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/
kopiere rein:
C:\WINDOWS\System32\neomonap23.exe
poste mir das Ergebnis
-------------------------------------------------------------------------------------
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O4 - HKLM\..\Run: [MOJNPluginSrIvcs] neomonap23.exe
O4 - HKLM\..\RunServices: [MOJNPluginSrIvcs] neomonap23.exe
O4 - HKCU\..\Run: [MOJNPluginSrIvcs] neomonap23.exe
neustarten
Loesche:
neomonap23.exe
#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.
#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
Lade TrojanHunter--> Fullscan
http://www.antivirus-online.de/german/c ... hp3?a=1204
#BitDefender Scan
www.bitdefender.com/scan/Msie/index.php
#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml
#McAfee FreeScan (Online)
www.mcafee.com/myapps/mfs/default.asp
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von otto77 am 10.02.2005, 23:40
Hallo nikita,
vielen, vielen Dank erst einmal. Ich konnte einige Tage wegen eines Auslandsaufenthalts nicht online gehen und habe daher erst gestern alles ausprobiert - und - es hat funktioniert. Auf jeden Fall ist der Rechner jetzt wieder so wie vorher. Das heisst, jetzt erscheint wieder die Meldung "Generic host process for Win 32" ist abgestürzt, nachdem der Rechner ans Internet angeschlossen worden ist. Dieses Problem werde ich dann in den nächsten Tagen angehen. Falls du eine Idee haben solltest, worin das erscheinen dieser Meldung begründet ist... Vielen, vielen Dank schon mal!
Zu deiner Frage wg. neomonap23.exe:
Die Datei wurde schon von Norton erkannt und gelöscht. Norton hat die Datei als infiziert mit W32.spybot.worm angezeigt....
Gruß,
otto77.
vielen, vielen Dank erst einmal. Ich konnte einige Tage wegen eines Auslandsaufenthalts nicht online gehen und habe daher erst gestern alles ausprobiert - und - es hat funktioniert. Auf jeden Fall ist der Rechner jetzt wieder so wie vorher. Das heisst, jetzt erscheint wieder die Meldung "Generic host process for Win 32" ist abgestürzt, nachdem der Rechner ans Internet angeschlossen worden ist. Dieses Problem werde ich dann in den nächsten Tagen angehen. Falls du eine Idee haben solltest, worin das erscheinen dieser Meldung begründet ist... Vielen, vielen Dank schon mal!
Zu deiner Frage wg. neomonap23.exe:
Die Datei wurde schon von Norton erkannt und gelöscht. Norton hat die Datei als infiziert mit W32.spybot.worm angezeigt....
Gruß,
otto77.
- otto77
- Beiträge: 2
- Registriert: 02.02.2005, 22:14
von Nikita am 11.02.2005, 01:28
otto77
Der Backdoor ist nicht geloescht, der mutex ist noch drauf und verantwortlich fuer.
"Generic host process for Win 32"
Start -> Ausführen--shutdown -a eingeben! (deaktiviert das Herunterfahren)
Hinweise zur Desinfektion von W32/Agobot
Lade: agobtgui.com (du musst als Administrator angemeldet sein --> scannen)
http://bilder.informationsarchiv.net/Nikitas_Tools/
Lade den Stinger:
http://vil.nai.com/vil/stinger/
# Die Internetverbindung beenden.
# Das Entfernungstool ausführen
# Windows im abgesicherten Modus neu starten.
# Für Windows XP: Systemwiederherstellung deaktivieren.
+ die Onlinescanns machen
Der Backdoor ist nicht geloescht, der mutex ist noch drauf und verantwortlich fuer.
"Generic host process for Win 32"
Start -> Ausführen--shutdown -a eingeben! (deaktiviert das Herunterfahren)
Hinweise zur Desinfektion von W32/Agobot
Lade: agobtgui.com (du musst als Administrator angemeldet sein --> scannen)
http://bilder.informationsarchiv.net/Nikitas_Tools/
Lade den Stinger:
http://vil.nai.com/vil/stinger/
# Die Internetverbindung beenden.
# Das Entfernungstool ausführen
# Windows im abgesicherten Modus neu starten.
# Für Windows XP: Systemwiederherstellung deaktivieren.
+ die Onlinescanns machen
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
4 Beiträge • Seite 1 von 1
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: MSNbot Media und 0 Gäste