S.O.S. - Big Trouble mit Popups, Toolbars (searchmiracle)etc

von **RickiTicki** am 28.04.2005, 00:38

Hallo!

Ich hab hier mehrere Probleme: Ständig öffnet sich ein Werbe-Window im IE mit irgendwelchen Casino-Meldungen und Schnickschnack, dazu hab ich oben als IE-Toolbar (EliteBar) mit so ner blöden searchmiracle Suchmaske, ständig melden sich Trojaner und mein PC ist glaub von Würmern zerfressen (z.B. Worm/VB.CT!, TR/Dldr.Dyfuca.ds!, TR/Spy.Likesurf.1, TR/Dldr.Istbar.BY.3...). Hilfe!!

Ich hab halt ziemlich viel Zeugs auf der Festplatte und keinen DVD-Brenner, drum würd ich ungern alles neu formatieren. Kann mir da vielleicht jemand paar Tips geben, was ich da noch machen könnte? ...wäre sehr nett

Hier noch mein HijackThis Log von gerade eben, nachdem ich schon allerlei versucht hab, den Kram zu entfernen (mit Ad-aware, Spybot):

Logfile of HijackThis v1.99.1
Scan saved at 00:14:59, on 28.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Temp\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dllO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AccG160] C:\PROGRA~1\WLANQU~1\AccG160.exe
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitetfj32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/8VtTX3HOGTUcy0hMTuJ9.chm::/on-line.exeO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/088223990a4 ... 601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 7948937982
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.stardialer.de/StarInstall.ocxO23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Danke für die Hilfe!
RickiTicki

von **Nikita** am 28.04.2005, 19:12

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten

von **RickiTicki** am 29.04.2005, 01:54

Hallo und Danke schonmal für deine Antwort! Ich hoffe, dass ich das mit dem Update in DOS richtig gemacht (hab per Eingabeaufforderung gebootet und dann da die kavupd.exe ausgeführt...)

Nuja, und das hat das Teil dann als "infected" ausgespuckt:

Thu Apr 28 23:41:40 2005 => File C:\WINDOWS\ELITET~1\ELITET~1.DLL infected by "not-a-virus:AdWare.ToolBar.EliteBar.af" Virus. Action Taken: No Action Taken.

Thu Apr 28 23:41:41 2005 => File C:\WINDOWS\ELITES~1\ELITES~1.DLL

infected by "not-a-virus:AdWare.ToolBar.EliteBar.z" Virus. Action Taken:

No Action Taken.

Thu Apr 28 23:41:50 2005 => File C:\windows\system32\elitetfj32.exe

infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action

Taken.

Thu Apr 28 23:42:03 2005 => Scanning

HKLM\SYSTEM\CurrentControlSet\Services\VxD
Thu Apr 28 23:42:03 2005 => System found infected with SideFind

Spyware/Adware ({8cba1b49-8144-4721-a7b1-64c578c9eed7})! Action taken: No

Action Taken.
Thu Apr 28 23:42:03 2005 => File System Found infected by "SideFind

Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Apr 28 23:42:03 2005 => System found infected with SideFind

Spyware/Adware ({58634367-d62b-4c2c-86be-5aac45cdb671})! Action taken: No

Action Taken.

Thu Apr 28 23:42:03 2005 => File System Found infected by "SideFind

Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Apr 28 23:42:03 2005 => System found infected with SideFind

Spyware/Adware ({a36a5936-cfd9-4b41-86bd-319a1931887f})! Action taken: No

Action Taken.

Thu Apr 28 23:42:03 2005 => File System Found infected by "SideFind

Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Apr 28 23:42:03 2005 => System found infected with SideFind

Spyware/Adware ({10e42047-deb9-4535-a118-b3f6ec39b807})! Action taken: No

Action Taken.

Thu Apr 28 23:42:03 2005 => File System Found infected by "SideFind

Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Apr 28 23:42:03 2005 => System found infected with Alexa

Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No

Action Taken.

Thu Apr 28 23:42:03 2005 => File System Found infected by "Alexa

Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Apr 28 23:42:03 2005 => System found infected with ElitebarBHO

Spyware/Adware ({825cf5bd-8862-4430-b771-0c15c5ca8def})! Action taken: No

Action Taken.

Thu Apr 28 23:42:03 2005 => File System Found infected by "ElitebarBHO

Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Apr 28 23:42:03 2005 => System found infected with ElitebarBHO

Spyware/Adware ({28caeff3-0f18-4036-b504-51d73bd81abc})! Action taken: No

Action Taken.

Thu Apr 28 23:42:03 2005 => File System Found infected by "ElitebarBHO

Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Apr 28 23:42:03 2005 => System found infected with sidefind

Spyware/Adware! Action taken: No Action Taken.

Thu Apr 28 23:42:03 2005 => File System Found infected by "sidefind

Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Apr 28 23:42:03 2005 => Offending value found in

HKLM\Software\powerscan !!!

Thu Apr 28 23:42:03 2005 => System found infected with powerscan

Spyware/Adware! Action taken: No Action Taken.

Thu Apr 28 23:42:03 2005 => File System Found infected by "powerscan

Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Apr 28 23:42:03 2005 => Offending Folder C:\PROGRA~1\POWERS~1

present...

Thu Apr 28 23:42:03 2005 => System found infected with power scan

Spyware/Adware! Action taken: No Action Taken.

Thu Apr 28 23:42:03 2005 => File System Found infected by "power scan

Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Apr 28 23:42:03 2005 => Offending value found in

HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\istbar !!!

Thu Apr 28 23:42:03 2005 => Offending value found in HKLM\Software\istbar

!!!

Thu Apr 28 23:42:03 2005 => System found infected with istbar

Spyware/Adware! Action taken: No Action Taken.

Thu Apr 28 23:42:03 2005 => File System Found infected by "istbar

Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Apr 28 23:42:03 2005 => Offending Folder C:\PROGRA~1\180SOL~1

present...

Thu Apr 28 23:42:03 2005 => System found infected with 180Solutions

Spyware/Adware! Action taken: No Action Taken.

Thu Apr 28 23:42:03 2005 => File System Found infected by "180Solutions

Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Apr 28 23:42:03 2005 => Offending Folder C:\WINDOWS\ELITET~1

present...

Thu Apr 28 23:42:03 2005 => System found infected with elitetoolbar

Spyware/Adware! Action taken: No Action Taken.

Thu Apr 28 23:42:03 2005 => File System Found infected by "elitetoolbar

Spyware/Adware" Virus. Action Taken: No Action Taken.

Thu Apr 28 23:42:03 2005 => Offending value found in

HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\elitebar

internet explorer toolbar !!!

Thu Apr 28 23:42:03 2005 => System found infected with elitebar internet

explorer toolbar Spyware/Adware! Action taken: No Action Taken.

Thu Apr 28 23:42:03 2005 => File System Found infected by "elitebar

internet explorer toolbar Spyware/Adware" Virus. Action Taken: No Action

Taken.

Thu Apr 28 23:42:25 2005 => File C:\WINDOWS\System32\cpdst2.exe infected

by "Trojan-Dropper.Win32.Juntador.c" Virus. Action Taken: No Action

Taken.

Thu Apr 28 23:42:43 2005 => File C:\WINDOWS\System32\elitefeu32.exe

infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action

Taken.

Thu Apr 28 23:42:43 2005 => File C:\WINDOWS\System32\elitehln32.exe

infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action

Taken.

Thu Apr 28 23:42:44 2005 => File C:\WINDOWS\System32\elitepmz32.exe

infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action

Taken.

Thu Apr 28 23:42:44 2005 => File C:\WINDOWS\System32\elitesop32.exe

infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action

Taken.

Thu Apr 28 23:42:44 2005 => File C:\WINDOWS\System32\elitewgc32.exe

infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action

Taken.

Thu Apr 28 23:42:44 2005 => File C:\WINDOWS\System32\elitexzn32.exe

infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action

Taken.

Thu Apr 28 23:43:44 2005 => File C:\WINDOWS\System32\o infected by

"Trojan-Downloader.BAT.Ftp.ab" Virus. Action Taken: No Action Taken.

Thu Apr 28 23:54:00 2005 => File C:\Dokumente und

Einstellungen\babi\Lokale Einstellungen\Temp\AAWTMP\TMP\431528 infected

by "not-a-virus:AdWare.ToolBar.SideFind" Virus. Action Taken: No Action

Taken.

Thu Apr 28 23:54:20 2005 => File C:\Dokumente und

Einstellungen\babi\Lokale Einstellungen\Temp\AAWTMP\TMP\510511 infected

by "not-a-virus:AdWare.ToolBar.EliteBar.z" Virus. Action Taken: No Action

Taken.

Thu Apr 28 23:54:21 2005 => File C:\Dokumente und

Einstellungen\babi\Lokale Einstellungen\Temp\AAWTMP\TMP\529573 infected

by "not-a-virus:AdWare.ToolBar.EliteBar.z" Virus. Action Taken: No Action

Taken.

Thu Apr 28 23:54:22 2005 => File C:\Dokumente und

Einstellungen\babi\Lokale Einstellungen\Temp\AAWTMP\TMP\794279 infected

by "not-a-virus:AdWare.ToolBar.EliteBar.z" Virus. Action Taken: No Action

Taken.

Thu Apr 28 23:54:42 2005 => File C:\Dokumente und

Einstellungen\babi\Lokale Einstellungen\Temp\gmrIJ8.exe infected by

"Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action

Taken.

C:\Programme\AVPersonal\INFECTED\istsvc.VIR infected by

"Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action

Taken.

Thu Apr 28 23:58:25 2005 => File

C:\Programme\AVPersonal\INFECTED\LLBH.DLL.VIR infected by

"Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken.

Thu Apr 28 23:58:25 2005 => File

C:\Programme\AVPersonal\INFECTED\logon.VIR infected by

"Backdoor.Win32.PoeBot.b" Virus. Action Taken: No Action Taken.

Thu Apr 28 23:58:25 2005 => File

C:\Programme\AVPersonal\INFECTED\WITQAQ.EXE.VIR infected by

"Trojan-Downloader.Win32.IstBar.ij" Virus. Action Taken: No Action Taken.

Fri Apr 29 00:11:09 2005 => File C:\Temp\hijackthis_199\hijackthis.log

infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Fri Apr 29 00:19:12 2005 => File

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary

Internet Files\Content.IE5\6EYLPI6L\sideb[1].exe infected by

"not-a-virus:AdWare.ToolBar.EliteBar.z" Virus. Action Taken: No Action

Taken.

Fri Apr 29 00:19:12 2005 => File

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary

Internet Files\Content.IE5\6EYLPI6L\sidefind13[1].dll infected by

"not-a-virus:AdWare.ToolBar.SideFind" Virus. Action Taken: No Action

Taken.

Fri Apr 29 00:19:16 2005 => File

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary

Internet Files\Content.IE5\E5H8NBC6\sideb[1].exe infected by

"not-a-virus:AdWare.ToolBar.EliteBar.z" Virus. Action Taken: No Action

Taken.

Fri Apr 29 00:19:22 2005 => File C:\WINDOWS\system32\cpdst2.exe infected

by "Trojan-Dropper.Win32.Juntador.c" Virus. Action Taken: No Action

Taken.

Fri Apr 29 00:25:21 2005 => File C:\WINDOWS\system32\elitefeu32.exe

infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action

Taken.

Fri Apr 29 00:25:21 2005 => File C:\WINDOWS\system32\elitehln32.exe

infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action

Taken.

Fri Apr 29 00:25:21 2005 => File C:\WINDOWS\system32\elitepmz32.exe

infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action

Taken.

Fri Apr 29 00:25:22 2005 => File C:\WINDOWS\system32\elitesop32.exe

infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action

Taken.

Fri Apr 29 00:25:22 2005 => File C:\WINDOWS\system32\elitewgc32.exe

infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action

Taken.

Fri Apr 29 00:25:22 2005 => File C:\WINDOWS\system32\elitexzn32.exe

infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action

Taken.

Fri Apr 29 00:26:33 2005 => File C:\WINDOWS\system32\o infected by

"Trojan-Downloader.BAT.Ftp.ab" Virus. Action Taken: No Action Taken.

Fri Apr 29 00:28:19 2005 => File C:\WINDOWS\Temp\drivestats.exe infected

by "not-a-virus:AdWare.WiAD.af" Virus. Action Taken: No Action Taken.

Fri Apr 29 00:28:20 2005 => File C:\WINDOWS\Temp\gamssiteA.exe infected

by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action

Taken.

Fri Apr 29 00:35:46 2005 => File

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary

Internet Files\Content.IE5\6EYLPI6L\sideb[1].exe infected by

"not-a-virus:AdWare.ToolBar.EliteBar.z" Virus. Action Taken: No Action

Taken.

Fri Apr 29 00:35:47 2005 => File

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary

Internet Files\Content.IE5\6EYLPI6L\sidefind13[1].dll infected by

"not-a-virus:AdWare.ToolBar.SideFind" Virus. Action Taken: No Action

Taken.

Fri Apr 29 00:35:50 2005 => File

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary

Internet Files\Content.IE5\E5H8NBC6\sideb[1].exe infected by

"not-a-virus:AdWare.ToolBar.EliteBar.z" Virus. Action Taken: No Action

Taken.

Fri Apr 29 00:35:56 2005 => File C:\WINDOWS\system32\cpdst2.exe infected

by "Trojan-Dropper.Win32.Juntador.c" Virus. Action Taken: No Action

Taken.

Fri Apr 29 00:41:50 2005 => File C:\WINDOWS\system32\elitefeu32.exe

infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action

Taken.

Fri Apr 29 00:41:50 2005 => File C:\WINDOWS\system32\elitehln32.exe

infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action

Taken.

Fri Apr 29 00:41:50 2005 => File C:\WINDOWS\system32\elitepmz32.exe

infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action

Taken.

Fri Apr 29 00:41:50 2005 => File C:\WINDOWS\system32\elitesop32.exe

infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action

Taken.

Fri Apr 29 00:41:51 2005 => File C:\WINDOWS\system32\elitewgc32.exe

infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action

Taken.

Fri Apr 29 00:41:51 2005 => File C:\WINDOWS\system32\elitexzn32.exe

infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action

Taken.

Fri Apr 29 00:42:58 2005 => File C:\WINDOWS\system32\o infected by

"Trojan-Downloader.BAT.Ftp.ab" Virus. Action Taken: No Action Taken.

Fri Apr 29 00:44:43 2005 => File C:\WINDOWS\Temp\drivestats.exe infected

by "not-a-virus:AdWare.WiAD.af" Virus. Action Taken: No Action Taken.

Fri Apr 29 00:44:43 2005 => File C:\WINDOWS\Temp\gamssiteA.exe infected

by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action

Taken.

Fri Apr 29 00:44:51 2005 => ***** Checking for specific ITW Viruses *****
Fri Apr 29 00:44:51 2005 => Checking for Welchia Virus...
Fri Apr 29 00:44:51 2005 => Checking for LovGate Virus...
Fri Apr 29 00:44:52 2005 => Checking for CodeRed Virus...
Fri Apr 29 00:44:52 2005 => Checking for OpaServ Virus...
Fri Apr 29 00:44:52 2005 => Checking for Sobig.e Virus...
Fri Apr 29 00:44:52 2005 => Checking for Winupie Virus...
Fri Apr 29 00:44:52 2005 => Checking for Swen Virus...
Fri Apr 29 00:44:52 2005 => Checking for JS.Fortnight Virus...
Fri Apr 29 00:44:52 2005 => Checking for Novarg Virus...
Fri Apr 29 00:44:52 2005 => Checking for Pagabot Virus...
Fri Apr 29 00:44:52 2005 => Checking for Parite.b Virus...
Fri Apr 29 00:44:52 2005 => Checking for Parite.a Virus...

Fri Apr 29 00:44:52 2005 => ***** Scanning complete. *****

Fri Apr 29 00:44:52 2005 => Total Objects Scanned: 42710
Fri Apr 29 00:44:52 2005 => Total Virus(es) Found: 61
Fri Apr 29 00:44:52 2005 => Total Disinfected Files: 0
Fri Apr 29 00:44:52 2005 => Total Files Renamed: 0
Fri Apr 29 00:44:52 2005 => Total Deleted Objects: 0
Fri Apr 29 00:44:52 2005 => Total Errors: 43
Fri Apr 29 00:44:53 2005 => Time Elapsed: 01:03:35
Fri Apr 29 00:44:53 2005 => Virus Database Date: 2005/04/28
Fri Apr 29 00:44:53 2005 => Virus Database Count: 127611

Fri Apr 29 00:44:53 2005 => Scan Completed.

Das war auch schon alles :oops:

Hoffe, du wirfst nicht geich da Handtuch bei der Masse an bösen Buben, die sich da auf meinem Rechner tummeln...

von **Nikita** am 29.04.2005, 11:17

sTart-->Ausfuehren-->regedit

Sollte man Probleme haben, die Einträge zu löschen,

Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.

Bild

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\SCardClnt
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\SCardClnt
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCARDCLNT
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCardClnt
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\SCardClnt
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\SCardClnt
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SCARDCLNT
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SCardClnt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCardClnt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCardClnt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SCARDCLNT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SCardClnt

HKLM\Software\istbar
HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\elitebar

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\cpdst2.exe
C:\WINDOWS\System32\elitefeu32.exe
C:\WINDOWS\System32\elitehln32.exe
C:\WINDOWS\System32\elitepmz32.exe
C:\WINDOWS\System32\elitesop32.exe
C:\WINDOWS\System32\elitewgc32.exe
C:\WINDOWS\System32\elitexzn32.exe
C:\WINDOWS\System32\o
C:\WINDOWS\Temp\drivestats.exe
C:\WINDOWS\Temp\gamssiteA.exe
C:\WINDOWS\System32\SCardClnt.exe

C:\WINDOWS\Temp\drivestats.exe
C:\WINDOWS\Temp\gamssiteA.exe

C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
C:\Programme\SideFind\sidefind.dll

C:\Windows\Downloaded Program Files\StarInstall.ocx

C:\Dokumente und Einstellungen\babi\Lokale Einstellungen\Temp\AAWTMP\TMP\431528
C:\Dokumente und Einstellungen\babi\Lokale Einstellungen\Temp\AAWTMP\TMP\510511
C:\Dokumente und Einstellungen\babi\Lokale Einstellungen\Temp\AAWTMP\TMP\529573
C:\Dokumente und Einstellungen\babi\Lokale Einstellungen\Temp\AAWTMP\TMP\794279
C:\Dokumente und Einstellungen\babi\Lokale Einstellungen\Temp\gmrIJ8.exe
C:\Programme\AVPersonal\INFECTED\istsvc.VIR
C:\Programme\AVPersonal\INFECTED\LLBH.DLL.VIR
C:\Programme\AVPersonal\INFECTED\logon.VIR
C:\Programme\AVPersonal\INFECTED\WITQAQ.EXE.VIR

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6EYLPI6L\sideb[1].exe
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6EYLPI6L\sidefind13[1].dll
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E5H8NBC6\sideb[1].exe

PC neustarten

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

CCleaner--> loesche alle *temp-Datein
http://www.ccleaner.com/ccdownload.asp

Bild

ClaerProg..lade die neuste Version <1.5.1
http://www.clearprog.de/programme/clear ... ex_new.php
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Verlauf
- Temporäre Internetfiles (Cache)
- URLs
- index.dat

#RegCleaner (Deutsch)
(Tip: Lade RegCleaner, stelle das Tool in Deutsch ein und saeubere ueber <Tools<Registry saeubern<alles durchfuehren < den PC (du kannst alles angezeigte Loeschen, denn es verbleibt eine Sicherung)
http://www.chip.de/downloads/c_downloads_8830516.html

•Search&Destroy
http://www.safer-networking.org/de/download/index.html

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen

•Online-Scann (Panda)--> berichte vom Scann (wenn deine Antivirus "meckert"--> ignorieren
http://www.pandasoftware.com/activescan ... ncipal.htm

von **RickiTicki** am 30.04.2005, 01:24

Hallo,

habe alle deine Anweisungen scheinbar erfolgreich ausführen können.....

Alle bis auf einen den mir Panda gemeldet hat:

Spyware:Spyware/ISTbar No disinfected Windows Registry

und dann springt mein AntiVir immer beim öffnen von neuen Seiten mit der Meldung entgegen:

C:\DOKUMENTE UND EINSTELLUNGEN\BABI\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\EY9G63PJ\POSTING[1].HTM

Enthält Signatur des HTML-Scriptvirus HTML/Exploit.Mhtml

Herzlichen Dank für den Rettungsring...soweit....
kannst du mir mit diesem Mist nochmal helfen?

Gruss Rickiticki

von **Nikita** am 30.04.2005, 01:28

RickiTicki

das gleiche passiert mir auch, wenn ich deinen Thread oeffne, klicke es weg

#Ad-aware SE Personal 1.05 Updated-->muesste die Eintraege in der Registry loeschen....
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen
poste das Log vom SCann
+
das neue Log vom HijackTHis

von **RickiTicki** am 30.04.2005, 13:26

Hm, na dann

Soweit so gut, hab jetzt Ad-Aware 2 x durchlaufen lassen, beim 2. Mal hat er nur noch so cookie-Einträge gefunden, die tauchen aber auch nach dem Löschen und neustarten wieder auf...

Und zwar:

Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : babi@as-eu.falkag[1].txt
Category : Data Miner
Comment : Hits:5
Value : Cookie:babi@as-eu.falkag.net/
Expires : 30.05.2005 13:08:50
LastSync : Hits:5
UseCount : 0
Hits : 5

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : babi@sel.as-eu.falkag[2].txt
Category : Data Miner
Comment : Hits:2
Value : Cookie:babi@sel.as-eu.falkag.net/
Expires : 30.05.2005 13:08:50
LastSync : Hits:2
UseCount : 0
Hits : 2

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:01:20.250
Objects scanned:60048
Objects identified:2
Objects ignored:0
New critical objects:2

_________

Hijackthis zeigt auch nix mehr an...

Logfile of HijackThis v1.99.1
Scan saved at 13:20:39, on 30.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\Temp\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AccG160] C:\PROGRA~1\WLANQU~1\AccG160.exe
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitetfj32.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/8VtTX3HOGTUcy0hMTuJ9.chm::/on-line.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/088223990a4 ... 601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 7948937982
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Bin ich geheilt?

von **Nikita** am 30.04.2005, 18:17

Gehe in die Registry

Start-->Ausfuehren-->regedit

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon \
UserInit=userinit.exe,---->loeschen: userinit32.exe

Fixe mit dem HijackThis:

F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe

O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitetfj32.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/8VtTX3HOGTUcy0hMTuJ9.chm::/on-line.exe

PC neustarten

Deinstalliere den Antivirus, dann ladee ihn neu:

•Antivirus (free)
http://www.free-av.de/

Nach dem Installationsscan (in Ruhe abwarten und alles Bestaetigen waehrend der Installation:
Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen

[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

Gehe (unbedingt) in den abgesicherten Modus ) und mache einen Komplettscann .---> dann poste mir den REPORT+ das neue Log vom HijackTHis

Patches für die Betriebssystem-Schwachstellen, die von W32/Rbot-YC ausgenutzt werden, stehen von Microsoft zur Verfügung unter:
http://www.microsoft.com/technet/securi ... 4-011.mspx
http://www.microsoft.com/technet/securi ... 3-039.mspx
http://www.microsoft.com/technet/securi ... 3-007.mspx
http://www.microsoft.com/technet/securi ... 1-059.mspx

von **RickiTicki** am 01.05.2005, 23:24

Schönen Guten Abend,
Hab nun antivir und hijackThis drübergejagt! Raus kam da für mich nichts mehr offensichtlich gefährliches, was denkst du darüber?
Hier die reports:

Start des Suchlaufs: Sonntag, 1. Mai 2005 19:11

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK

C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery
AlexaRelated.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CoolWWWSearch.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DialerActiveX.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DialerActiveX1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DialerActiveX2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit10.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit11.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit12.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit13.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit14.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit15.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit16.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit17.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit18.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit19.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit9.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DyFuCA.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DyFuCA1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ElitumEliteBar.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ElitumEliteBar1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ElitumEliteBar2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ElitumEliteBar3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ISearchTechPowerScan.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ISearchTechPowerScan1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ISearchTechPowerScan2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ISearchTechPowerScan3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ISearchTechPowerScan4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ISearchTechPowerScan5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ISearchTechPowerScan6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ISearchTechPowerScan7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ISearchTechSideFind.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ISearchTechSideFind1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ISearchTechSideFind2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ISearchTechSideFind3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ISearchTechSideFind4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ISearchTechSideFind5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ISearchTechSideFind6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ISearchTechSideFind7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ISearchTechSideFind8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ISTbarSlotch.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ISTbarSlotch1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ISTbarSlotch2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ISTbarSlotch3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ISTbarSlotch4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MainPean.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MainPean1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MainPean2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MainPean3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
nCase.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
PowerScan.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
PowerScan1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
PowerScan2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
PowerScan3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
PowerScan4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
PowerScan5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
PowerScan6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
PowerScan7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
C:\NIS_RETL\SUPPORT\MSIE
IE4SHLNT.CAB
ArchiveType: CAB (Microsoft)
--> shell32.dll
WARNUNG! Fehler beim Lesen der Datei
--> explorer.exe
HINWEIS! Die komprimierten Daten sind fehlerhaft
--> wallpapr.htm
HINWEIS! Die komprimierten Daten sind fehlerhaft
--> safemode.htt
HINWEIS! Die komprimierten Daten sind fehlerhaft
--> mycomp.htt
HINWEIS! Die komprimierten Daten sind fehlerhaft
--> controlp.htt
HINWEIS! Die komprimierten Daten sind fehlerhaft
--> printers.htt
HINWEIS! Die komprimierten Daten sind fehlerhaft
--> folder.htt
HINWEIS! Die komprimierten Daten sind fehlerhaft
--> deskmovr.htt
HINWEIS! Die komprimierten Daten sind fehlerhaft
--> langchk.exe
HINWEIS! Die komprimierten Daten sind fehlerhaft
--> ieshwiz.exe
HINWEIS! Die komprimierten Daten sind fehlerhaft
--> ie4tour.dll
HINWEIS! Die komprimierten Daten sind fehlerhaft
--> webvw.dll
HINWEIS! Die komprimierten Daten sind fehlerhaft
--> ie4uinit.inf
HINWEIS! Die komprimierten Daten sind fehlerhaft
--> find.chm
HINWEIS! Die komprimierten Daten sind fehlerhaft
--> update.chm
HINWEIS! Die komprimierten Daten sind fehlerhaft
--> update.hlp
HINWEIS! Die komprimierten Daten sind fehlerhaft
--> users.hlp
HINWEIS! Die komprimierten Daten sind fehlerhaft
--> users.chm
HINWEIS! Die komprimierten Daten sind fehlerhaft
--> DESKNT4.CPL
HINWEIS! Die komprimierten Daten sind fehlerhaft
C:\Programme\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\$NtUninstallQ828026$
msdxm.ocx
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
wmpcore.dll
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

Ende des Suchlaufs: Sonntag, 1. Mai 2005 19:25
Benötigte Zeit: 14:05 min

Das war AntiVir und nun HijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 19:32:48, on 01.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Temp\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AccG160] C:\PROGRA~1\WLANQU~1\AccG160.exe
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/088223990a4 ... 601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 7948937982
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

ich hoffe du wirfst nochmal ein auge drauf und sagst mir ob ich meinen rechner nun in sicherheit wiegen kann!

Vielen Dank für die Mühe bis hier.....
Gruss Rickiticki

von **Nikita** am 02.05.2005, 15:36

Fixe mit dem HijackTHis:

R3 - Default URLSearchHook is missing

neustarten

scanne noch einmal mit escan im abgesicherten Modus und berichte+
mache unbedingt die Windowsupdates (lade SP2)

von **RickiTicki** am 03.05.2005, 15:01

hallo,
habe den hijackthis scan erneut gemacht und dabei wurde

R3 - Default URLSearchHook is missing

nicht mehr angezeigt.

Nach scan mit escan kam diese als einzige böse meldung:

Tue May 03 14:17:53 2005 => System found infected with SideFind Spyware/Adware ({10e42047-deb9-4535-a118-b3f6ec39b807})! Action taken: No Action Taken.

Vielen dank soweit und ich hoffe auf Antwort!

Lg. Rickiticki

von **Nikita** am 04.05.2005, 11:58

C:\Programme\SideFind\ <--loeschen

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann

S.O.S. - Big Trouble mit Popups, Toolbars (searchmiracle)etc

S.O.S. - Big Trouble mit Popups, Toolbars (searchmiracle)etc

Ähnliche Themen

Wer ist online?