befallen von Trojaner u.a.(log)?
13 Beiträge • Seite 1 von 1
befallen von Trojaner u.a.(log)?
von GomiBako am 29.08.2004, 22:11
Hallo Leute,
ich brauch ma eure Hilfe. Ich hab nämlich das dumpfe Gefühl, dass mein System noch verseuchter ist als es normalerweise ist. Beim Hochfahren erscheint ein cmd-Fenster und führt folgendes u.a. aus (vielleicht auch noch mehr):
c:\windows\system32\twink64.exe
Telnet internat.dll,LoadkeyboardProfile
Naja, kenn mich halt nicht so aus, hab also erstma Spybot und Ad-Aware laufen lassen und jetz nochma hijackthis gestartet.
Ich ahne, dass das System total verseucht ist, aber formatieren ist für mich nicht drin, da ich nicht der alleinige PC-Nutzer bin. Ich hoffe ihr könnt mir helfen, hier is das log, danke schonma im voraus:
Logfile of HijackThis v1.98.2
Scan saved at 21:47:58, on 29.08.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\VERITAS Software\Update Manager\sgtray.exe
C:\WINDOWS\System32\ciycvyia.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Thomas\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Thomas\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Thomas\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Thomas\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Thomas\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Thomas\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Thomas\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {95CF506A-3C0A-443C-AC3C-1B4E17303797} - C:\WINDOWS\System32\adgh.dll (file missing)
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [imjpmig] C:\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mjojmqrokeu] C:\WINDOWS\System32\ciycvyia.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmeup.cc
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O16 - DPF: symsupportutil - https://www-secure.symantec.com/region/ ... rtutil.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/28b766c4163 ... 601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3778727153
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/ ... veData.cab
O18 - Filter: text/html - {4C792DFC-06D7-40D5-A9A5-E7DB6FCB9FB2} - C:\WINDOWS\System32\adgh.dll
O18 - Filter: text/plain - {4C792DFC-06D7-40D5-A9A5-E7DB6FCB9FB2} - C:\WINDOWS\System32\adgh.dll
ich brauch ma eure Hilfe. Ich hab nämlich das dumpfe Gefühl, dass mein System noch verseuchter ist als es normalerweise ist. Beim Hochfahren erscheint ein cmd-Fenster und führt folgendes u.a. aus (vielleicht auch noch mehr):
c:\windows\system32\twink64.exe
Telnet internat.dll,LoadkeyboardProfile
Naja, kenn mich halt nicht so aus, hab also erstma Spybot und Ad-Aware laufen lassen und jetz nochma hijackthis gestartet.
Ich ahne, dass das System total verseucht ist, aber formatieren ist für mich nicht drin, da ich nicht der alleinige PC-Nutzer bin. Ich hoffe ihr könnt mir helfen, hier is das log, danke schonma im voraus:
Logfile of HijackThis v1.98.2
Scan saved at 21:47:58, on 29.08.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\VERITAS Software\Update Manager\sgtray.exe
C:\WINDOWS\System32\ciycvyia.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Thomas\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Thomas\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Thomas\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Thomas\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Thomas\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Thomas\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Thomas\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {95CF506A-3C0A-443C-AC3C-1B4E17303797} - C:\WINDOWS\System32\adgh.dll (file missing)
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [imjpmig] C:\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mjojmqrokeu] C:\WINDOWS\System32\ciycvyia.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmeup.cc
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O16 - DPF: symsupportutil - https://www-secure.symantec.com/region/ ... rtutil.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/28b766c4163 ... 601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3778727153
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/ ... veData.cab
O18 - Filter: text/html - {4C792DFC-06D7-40D5-A9A5-E7DB6FCB9FB2} - C:\WINDOWS\System32\adgh.dll
O18 - Filter: text/plain - {4C792DFC-06D7-40D5-A9A5-E7DB6FCB9FB2} - C:\WINDOWS\System32\adgh.dll
- GomiBako
- Beiträge: 3
- Registriert: 29.08.2004, 21:56
von Nikita am 29.08.2004, 22:36
Hallo @GomiBako
scanne mit dem HijackThis, hake genau an, was ich poste, dann <fix< und neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Thomas\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Thomas\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Thomas\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Thomas\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Thomas\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Thomas\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {95CF506A-3C0A-443C-AC3C-1B4E17303797} - C:\WINDOWS\System32\adgh.dll (file missing)
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O4 - HKLM\..\Run: [mjojmqrokeu] C:\WINDOWS\System32\ciycvyia.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
eventuell "verseucht"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmeup.cc
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O18 - Filter: text/html - {4C792DFC-06D7-40D5-A9A5-E7DB6FCB9FB2} - C:\WINDOWS\System32\adgh.dll
O18 - Filter: text/plain - {4C792DFC-06D7-40D5-A9A5-E7DB6FCB9FB2} - C:\WINDOWS\System32\adgh.dll
neustarten
___________________________________________________________________________
#Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
Deaktiviere den <Telnet-Dienst
Telnet
Starttyp-Empfehlung: Deaktiviert (aus Sicherheitsgründen)
"Ermöglicht einem Remotebenutzer, sich an diesem Computer anzumelden und Programme auszuführen. Unterstützt verschiedene TCP/IP-Telnetclients, einschließlich UNIX-basierten und Windows-basierten Computern. Wenn dieser Dienst angehalten wird, ist der Remotezugriff möglicherweise nicht mehr verfügbar. Wenn dieser Dienst deaktiviert wird, können alle Dienste, die explizit von diesem Dienst abhängen, nicht mehr gestartet werden."
_________________________________________________________________
#Gehe in <Internetoptionen< und loesche alle TemporaryInternetfiles (auch die Offline)
#Gehe in Start<Ausfuehren<%temp% und loesche alle Temporary-Ordner
_________________________________________________________________
#Ueberpruefe mit Kaspersky (poste dann das Ergebnis)
C:\WINDOWS\System32\ciycvyia.exe
C:\WINDOWS\System32\twink64.exe
http://www.kaspersky.com/remoteviruschk.html
_________________________________________________________________
Lade <eScan<erstelle vorher einen Ordner C:\base und entpacke dort den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suchst mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp%
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
__________________________________________________________________
Starte neu und gehe unbedingt in den abgesicherten Modus (!)
http://www.bsi.de/av/texte/winsave.htm
#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.
__________________________________________________________
normal starten
#Lade AdAware (free) und scanne <alle Dateien<
http://www.lavasoft.de/support/download/
#Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/IN ... 7105707924
# scanne noch mal mit mwav.exe im Normalmodus und postes alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal + Kaspersky-Info
mfg
Nikita
scanne mit dem HijackThis, hake genau an, was ich poste, dann <fix< und neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Thomas\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Thomas\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Thomas\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Thomas\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Thomas\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Thomas\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {95CF506A-3C0A-443C-AC3C-1B4E17303797} - C:\WINDOWS\System32\adgh.dll (file missing)
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O4 - HKLM\..\Run: [mjojmqrokeu] C:\WINDOWS\System32\ciycvyia.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
eventuell "verseucht"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmeup.cc
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O18 - Filter: text/html - {4C792DFC-06D7-40D5-A9A5-E7DB6FCB9FB2} - C:\WINDOWS\System32\adgh.dll
O18 - Filter: text/plain - {4C792DFC-06D7-40D5-A9A5-E7DB6FCB9FB2} - C:\WINDOWS\System32\adgh.dll
neustarten
___________________________________________________________________________
#Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
Deaktiviere den <Telnet-Dienst
Telnet
Starttyp-Empfehlung: Deaktiviert (aus Sicherheitsgründen)
"Ermöglicht einem Remotebenutzer, sich an diesem Computer anzumelden und Programme auszuführen. Unterstützt verschiedene TCP/IP-Telnetclients, einschließlich UNIX-basierten und Windows-basierten Computern. Wenn dieser Dienst angehalten wird, ist der Remotezugriff möglicherweise nicht mehr verfügbar. Wenn dieser Dienst deaktiviert wird, können alle Dienste, die explizit von diesem Dienst abhängen, nicht mehr gestartet werden."
_________________________________________________________________
#Gehe in <Internetoptionen< und loesche alle TemporaryInternetfiles (auch die Offline)
#Gehe in Start<Ausfuehren<%temp% und loesche alle Temporary-Ordner
_________________________________________________________________
#Ueberpruefe mit Kaspersky (poste dann das Ergebnis)
C:\WINDOWS\System32\ciycvyia.exe
C:\WINDOWS\System32\twink64.exe
http://www.kaspersky.com/remoteviruschk.html
_________________________________________________________________
Lade <eScan<erstelle vorher einen Ordner C:\base und entpacke dort den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suchst mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp%
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
__________________________________________________________________
Starte neu und gehe unbedingt in den abgesicherten Modus (!)
http://www.bsi.de/av/texte/winsave.htm
#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.
__________________________________________________________
normal starten
#Lade AdAware (free) und scanne <alle Dateien<
http://www.lavasoft.de/support/download/
#Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/IN ... 7105707924
# scanne noch mal mit mwav.exe im Normalmodus und postes alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal + Kaspersky-Info
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von GomiBako am 30.08.2004, 10:37
@nikita:
Danke für die schnelle Antwort, hier sind also die neuen Daten.
Kapersky:
Scanned file: twink64.exe
twink64.exe - OK
Scanned file: ciycvyia.exe
ciycvyia.exe - infected by TrojanDownloader.Win32.Agent.ae
mwav:
File C:\Dokumente und Einstellungen\Günter\.jpi_cache\file\1.0\scroll3.class-6345326e-6a22a13a.class tagged as not-a-virus:JavaClass.TickerTape. No Action Taken.
File C:\Dokumente und Einstellungen\Keiko\Anwendungsdaten\Microsoft\Office\Recent\????7.8.LNK infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Keiko\Anwendungsdaten\Microsoft\Office\Recent\????8,25.LNK infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Keiko\Anwendungsdaten\Microsoft\Office\Recent\???????(EUR?).LNK infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Keiko\Anwendungsdaten\Microsoft\Office\Recent\demo160603.LNK infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Keiko\Desktop\mail\Leweck????.eml infected by "BkCln.Unknown" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Keiko\Recent\Leweck????.lnk infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Microsoft\Office\Recent\Einführung japtest.LNK infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\Einführung japtest.doc infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Thomas\Recent\(???) [????&???] ?????????(??????????).lnk infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Thomas\Recent\__INCOMPLETE___??????[??]???????????·????????????32d759e8e0769b7781b5c9e143396f9000da3e9800770000b01c000003c1.lnk infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
HijackThis:
Logfile of HijackThis v1.98.2
Scan saved at 10:30:11, on 30.08.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\THOMAS\LOKALE~1\TEMP\MWAVSCAN.COM
C:\DOKUME~1\THOMAS\LOKALE~1\TEMP\kavss.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Thomas\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [imjpmig] C:\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: symsupportutil - https://www-secure.symantec.com/region/ ... rtutil.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/28b766c4163 ... 601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3778727153
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/ ... veData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4EC629D-EBD7-452B-81D3-659EAB546A1E}: NameServer = 217.237.150.225 194.25.2.129
Danke für die schnelle Antwort, hier sind also die neuen Daten.
Kapersky:
Scanned file: twink64.exe
twink64.exe - OK
Scanned file: ciycvyia.exe
ciycvyia.exe - infected by TrojanDownloader.Win32.Agent.ae
mwav:
File C:\Dokumente und Einstellungen\Günter\.jpi_cache\file\1.0\scroll3.class-6345326e-6a22a13a.class tagged as not-a-virus:JavaClass.TickerTape. No Action Taken.
File C:\Dokumente und Einstellungen\Keiko\Anwendungsdaten\Microsoft\Office\Recent\????7.8.LNK infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Keiko\Anwendungsdaten\Microsoft\Office\Recent\????8,25.LNK infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Keiko\Anwendungsdaten\Microsoft\Office\Recent\???????(EUR?).LNK infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Keiko\Anwendungsdaten\Microsoft\Office\Recent\demo160603.LNK infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Keiko\Desktop\mail\Leweck????.eml infected by "BkCln.Unknown" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Keiko\Recent\Leweck????.lnk infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Microsoft\Office\Recent\Einführung japtest.LNK infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\Einführung japtest.doc infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Thomas\Recent\(???) [????&???] ?????????(??????????).lnk infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Thomas\Recent\__INCOMPLETE___??????[??]???????????·????????????32d759e8e0769b7781b5c9e143396f9000da3e9800770000b01c000003c1.lnk infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
HijackThis:
Logfile of HijackThis v1.98.2
Scan saved at 10:30:11, on 30.08.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\THOMAS\LOKALE~1\TEMP\MWAVSCAN.COM
C:\DOKUME~1\THOMAS\LOKALE~1\TEMP\kavss.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Thomas\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [imjpmig] C:\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: symsupportutil - https://www-secure.symantec.com/region/ ... rtutil.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/28b766c4163 ... 601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3778727153
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/ ... veData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4EC629D-EBD7-452B-81D3-659EAB546A1E}: NameServer = 217.237.150.225 194.25.2.129
- GomiBako
- Beiträge: 3
- Registriert: 29.08.2004, 21:56
)Ähnliches Problem ( golumm )
von Jannes am 24.09.2004, 21:10
Moin,
hab ein ähnliches Problem, wie GomiBako.
AdAware und AntiVir haben nicht geholfen.
Ist glaube ich dieser Golumm Trojaner und mehr.
Hier meine Hijacklog:
Logfile of HijackThis v1.98.2
Scan saved at 21:05:48, on 24.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\RemotelyAnywhere\RaMaint.exe
C:\Programme\RemotelyAnywhere\RemotelyAnywhere.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\golumm\services.exe
C:\WINNT\system32\internat.exe
C:\gam.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\eckhard.BLUECHICK\Desktop\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\hthiu.dll/sp.html#29126
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\hthiu.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\hthiu.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\hthiu.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [mwavscan] "C:\bases\mwavscan.com" /s
O4 - HKLM\..\Run: [golumm] C:\WINNT\system32\golumm\services.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [sysinit] C:\WINNT\system32\golumm\services.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = bluechick.dyndns.org
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = bluechick.dyndns.org
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = bluechick.dyndns.org
Könnte die vielleicht mal jemand abchecken, wäre nett ...
Danke im voraus
MfG Jannes
hab ein ähnliches Problem, wie GomiBako.
AdAware und AntiVir haben nicht geholfen.
Ist glaube ich dieser Golumm Trojaner und mehr.
Hier meine Hijacklog:
Logfile of HijackThis v1.98.2
Scan saved at 21:05:48, on 24.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\RemotelyAnywhere\RaMaint.exe
C:\Programme\RemotelyAnywhere\RemotelyAnywhere.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\golumm\services.exe
C:\WINNT\system32\internat.exe
C:\gam.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\eckhard.BLUECHICK\Desktop\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\hthiu.dll/sp.html#29126
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\hthiu.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\hthiu.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\hthiu.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [mwavscan] "C:\bases\mwavscan.com" /s
O4 - HKLM\..\Run: [golumm] C:\WINNT\system32\golumm\services.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [sysinit] C:\WINNT\system32\golumm\services.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = bluechick.dyndns.org
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = bluechick.dyndns.org
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = bluechick.dyndns.org
Könnte die vielleicht mal jemand abchecken, wäre nett ...
Danke im voraus
MfG Jannes
- Jannes
- Beiträge: 5
- Registriert: 24.09.2004, 21:07
von Nikita am 24.09.2004, 22:55
Hallo @Jannes
Fixe mit dem HijackThis, dann neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\hthiu.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\hthiu.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\hthiu.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\hthiu.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [golumm] C:\WINNT\system32\golumm\services.exe
O4 - HKCU\..\Run: [sysinit] C:\WINNT\system32\golumm\services.exe
neustarten
#Ueberpruefe die exe einzeln mit Kaspersky und poste das Ergebnis:
C:\gam.exe
C:\WINNT\system32\golumm\services.exe
:Kaspersky (Online)
http://www.kaspersky.com/remoteviruschk.html
#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"
#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K
#Internet Explorer<Menüleiste Extras<Internet Optionen<Allgemein<Verlauf" leeren, Cookies, TemporaryInternetfiles (auch Offline) l
##Sphj.fix
<.sp.html (obfuscated)<
http://www.rokop-security.de/main/article.php?sid=746
#Jetzt , wo der Backdoor aus dem Autostart ist:
#Loesche:
C:\WINNT\system32\golumm\services.exe
C:\gam.exe
#Den Update kavupd.exe von <EScan< suchen:
"kavupd.exe" (automatisches Update ueber DOS) ausführen.
<unbedingt in den abgesicherten Modus gehen
http://www.bsi.de/av/texte/winsave.htm
<und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen
<Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
folgende Haken :
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory
<und "Scan clean" klicken.
<Gehe wieder in den Normalmodus und scanne noch mal.
<Poste danach Virus Log Information: (aus Viewer abkopieren)
was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal
mfg
Nikita
Fixe mit dem HijackThis, dann neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\hthiu.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\hthiu.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\hthiu.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\hthiu.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [golumm] C:\WINNT\system32\golumm\services.exe
O4 - HKCU\..\Run: [sysinit] C:\WINNT\system32\golumm\services.exe
neustarten
#Ueberpruefe die exe einzeln mit Kaspersky und poste das Ergebnis:
C:\gam.exe
C:\WINNT\system32\golumm\services.exe
:Kaspersky (Online)
http://www.kaspersky.com/remoteviruschk.html
#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"
#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K
#Internet Explorer<Menüleiste Extras<Internet Optionen<Allgemein<Verlauf" leeren, Cookies, TemporaryInternetfiles (auch Offline) l
##Sphj.fix
<.sp.html (obfuscated)<
http://www.rokop-security.de/main/article.php?sid=746
#Jetzt , wo der Backdoor aus dem Autostart ist:
#Loesche:
C:\WINNT\system32\golumm\services.exe
C:\gam.exe
#Den Update kavupd.exe von <EScan< suchen:
"kavupd.exe" (automatisches Update ueber DOS) ausführen.
<unbedingt in den abgesicherten Modus gehen
http://www.bsi.de/av/texte/winsave.htm
<und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen
<Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
folgende Haken :
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory
<und "Scan clean" klicken.
<Gehe wieder in den Normalmodus und scanne noch mal.
<Poste danach Virus Log Information: (aus Viewer abkopieren)
was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Jannes am 25.09.2004, 13:23
Moin,
Kaspersky hat bei C:\WINNT\system32\golumm\services.exe noch was gefunden ( Attentation ...)
bin gerade bei dem schritt und muss eben rebooten
##Sphj.fix
<.sp.html (obfuscated)<
http://www.rokop-security.de/main/article.php?sid=746
Kaspersky hat bei C:\WINNT\system32\golumm\services.exe noch was gefunden ( Attentation ...)
bin gerade bei dem schritt und muss eben rebooten
##Sphj.fix
<.sp.html (obfuscated)<
http://www.rokop-security.de/main/article.php?sid=746
- Jannes
- Beiträge: 5
- Registriert: 24.09.2004, 21:07
RE
von Jannes am 26.09.2004, 17:13
eScan Log:
un Sep 26 17:08:42 2004 => ***** Scanning complete. *****
Sun Sep 26 17:08:42 2004 => Total Number of Files Scanned: 22179
Sun Sep 26 17:08:42 2004 => Total Number of Virus(es) Found: 7
Sun Sep 26 17:08:42 2004 => Total Number of Disinfected Files: 0
Sun Sep 26 17:08:42 2004 => Total Number of Files Renamed: 0
Sun Sep 26 17:08:42 2004 => Total Number of Deleted Files: 0
Sun Sep 26 17:08:42 2004 => Total Number of Errors: 2
Sun Sep 26 17:08:42 2004 => Time Elapsed: 00:24:44
Sun Sep 26 17:08:42 2004 => Virus Database Date: 2004/09/26
Sun Sep 26 17:08:42 2004 => Virus Database Count: 104390
Sun Sep 26 17:08:42 2004 => Scan Completed.
File C:\WINNT\system32\EGCOMSERVICE2.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.1050. No Action Taken.
File C:\WINNT\system32\nethv32.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.j. No Action Taken.
File C:\Spiele\Quake 3\Extras\WorldNet\PCVKIT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINNT\system32\EGCOMSERVICE2.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.1050. No Action Taken.
File C:\WINNT\system32\nethv32.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.j. No Action Taken.
File C:\WINNT\system32\EGCOMSERVICE2.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.1050. No Action Taken.
File C:\WINNT\system32\nethv32.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.j. No Action Taken.
Hijack This log:
Logfile of HijackThis v1.98.2
Scan saved at 17:12:44, on 26.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\RemotelyAnywhere\RaMaint.exe
C:\Programme\RemotelyAnywhere\RemotelyAnywhere.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\eckhard.BLUECHICK\Desktop\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem302.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [mwavscan] "C:\bases\mwavscan.com" /s
O4 - HKLM\..\Run: [jcxwv] C:\WINNT\jcxwv.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = bluechick.dyndns.org
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = bluechick.dyndns.org
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = bluechick.dyndns.org
MfG Jannes
un Sep 26 17:08:42 2004 => ***** Scanning complete. *****
Sun Sep 26 17:08:42 2004 => Total Number of Files Scanned: 22179
Sun Sep 26 17:08:42 2004 => Total Number of Virus(es) Found: 7
Sun Sep 26 17:08:42 2004 => Total Number of Disinfected Files: 0
Sun Sep 26 17:08:42 2004 => Total Number of Files Renamed: 0
Sun Sep 26 17:08:42 2004 => Total Number of Deleted Files: 0
Sun Sep 26 17:08:42 2004 => Total Number of Errors: 2
Sun Sep 26 17:08:42 2004 => Time Elapsed: 00:24:44
Sun Sep 26 17:08:42 2004 => Virus Database Date: 2004/09/26
Sun Sep 26 17:08:42 2004 => Virus Database Count: 104390
Sun Sep 26 17:08:42 2004 => Scan Completed.
File C:\WINNT\system32\EGCOMSERVICE2.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.1050. No Action Taken.
File C:\WINNT\system32\nethv32.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.j. No Action Taken.
File C:\Spiele\Quake 3\Extras\WorldNet\PCVKIT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINNT\system32\EGCOMSERVICE2.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.1050. No Action Taken.
File C:\WINNT\system32\nethv32.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.j. No Action Taken.
File C:\WINNT\system32\EGCOMSERVICE2.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.1050. No Action Taken.
File C:\WINNT\system32\nethv32.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.j. No Action Taken.
Hijack This log:
Logfile of HijackThis v1.98.2
Scan saved at 17:12:44, on 26.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\RemotelyAnywhere\RaMaint.exe
C:\Programme\RemotelyAnywhere\RemotelyAnywhere.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\eckhard.BLUECHICK\Desktop\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem302.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [mwavscan] "C:\bases\mwavscan.com" /s
O4 - HKLM\..\Run: [jcxwv] C:\WINNT\jcxwv.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = bluechick.dyndns.org
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = bluechick.dyndns.org
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = bluechick.dyndns.org
MfG Jannes
- Jannes
- Beiträge: 5
- Registriert: 24.09.2004, 21:07
von Nikita am 26.09.2004, 18:28
Hallo @Jannes
Fixe:(dann sofort neustarten)
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem302.dll
O4 - HKLM\..\Run: [mwavscan] "C:\bases\mwavscan.com" /s
O4 - HKLM\..\Run: [jcxwv] C:\WINNT\jcxwv.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
neustarten
#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"
#Start<Ausfuehren<cmd
reinkopieren:
regsvr32 /u C:\WINNT\wsem302.dll
<enter<
#Start<Ausfuehren<cmd
reinkopieren:
regsvr32 /u C:\WINNT\system32\nethv32.dll
<enter<
#Start<Ausfuehren<cmd
reinkopieren:
regsvr32 /u C:\WINNT\system32\EGCOMSERVICE2.dll
<enter
NEUSTARTEN
1. Deinstalliere:
C:\Programme\SideFind
2.Loesche:
C:\WINNT\wsem302.dll
C:\WINNT\system32\nethv32.dll
C:\WINNT\jcxwv.exe
C:\WINNT\system32\EGCOMSERVICE2.dll
3.Deinstalliere deinen Antivirus (ist zerstoert) und lade neu
#Antivirus (free)
http://www.free-av.de/
nach dem Installationsscnn konfiguriere:
<alle Dateien< und Heuristik: mittel.
Gehe in den abgesicherten Modus und scanne, dann nochmal im Normalmodus.
Nichts in die Quarantaene schicken ! Alles loeschen.
4.NT- Dienste sicher konfigurieren
www.dingens.org
5.<Agnitum: Outpost Firewall installieren
Outpost von Agnitum gibt es auch als free-Version.
http://www.agnitum.com/download/outpost1.html
<Outpost Firewall Spezial
Deutschsprachige Anleitungen zur Installation und Konfiguration von Outpost auf brain-pro.de.
http://www.brain-pro.de/outpostspezial.htm
Dann poste das Log noch mal.
mfg
Nikita
Fixe:(dann sofort neustarten)
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem302.dll
O4 - HKLM\..\Run: [mwavscan] "C:\bases\mwavscan.com" /s
O4 - HKLM\..\Run: [jcxwv] C:\WINNT\jcxwv.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
neustarten
#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"
#Start<Ausfuehren<cmd
reinkopieren:
regsvr32 /u C:\WINNT\wsem302.dll
<enter<
#Start<Ausfuehren<cmd
reinkopieren:
regsvr32 /u C:\WINNT\system32\nethv32.dll
<enter<
#Start<Ausfuehren<cmd
reinkopieren:
regsvr32 /u C:\WINNT\system32\EGCOMSERVICE2.dll
<enter
NEUSTARTEN
1. Deinstalliere:
C:\Programme\SideFind
2.Loesche:
C:\WINNT\wsem302.dll
C:\WINNT\system32\nethv32.dll
C:\WINNT\jcxwv.exe
C:\WINNT\system32\EGCOMSERVICE2.dll
3.Deinstalliere deinen Antivirus (ist zerstoert) und lade neu
#Antivirus (free)
http://www.free-av.de/
nach dem Installationsscnn konfiguriere:
<alle Dateien< und Heuristik: mittel.
Gehe in den abgesicherten Modus und scanne, dann nochmal im Normalmodus.
Nichts in die Quarantaene schicken ! Alles loeschen.
4.NT- Dienste sicher konfigurieren
www.dingens.org
5.<Agnitum: Outpost Firewall installieren
Outpost von Agnitum gibt es auch als free-Version.
http://www.agnitum.com/download/outpost1.html
<Outpost Firewall Spezial
Deutschsprachige Anleitungen zur Installation und Konfiguration von Outpost auf brain-pro.de.
http://www.brain-pro.de/outpostspezial.htm
Dann poste das Log noch mal.
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
clean ????
von Jannes am 27.09.2004, 20:41
Moin!
Logfile of HijackThis v1.98.2
Scan saved at 20:40:39, on 27.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\RemotelyAnywhere\RaMaint.exe
C:\Programme\RemotelyAnywhere\RemotelyAnywhere.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Dokumente und Einstellungen\eckhard.BLUECHICK\Startmenü\Programme\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = bluechick.dyndns.org
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = bluechick.dyndns.org
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = bluechick.dyndns.org
hoffe jetzt isser clean
MfG Jannes
Logfile of HijackThis v1.98.2
Scan saved at 20:40:39, on 27.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\RemotelyAnywhere\RaMaint.exe
C:\Programme\RemotelyAnywhere\RemotelyAnywhere.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Dokumente und Einstellungen\eckhard.BLUECHICK\Startmenü\Programme\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = bluechick.dyndns.org
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = bluechick.dyndns.org
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = bluechick.dyndns.org
hoffe jetzt isser clean
MfG Jannes
- Jannes
- Beiträge: 5
- Registriert: 24.09.2004, 21:07
von Nikita am 28.09.2004, 01:02
Hallo @Jannes
#NT- Dienste sicher konfigurieren (lade das !)
www.dingens.org
ODER WENIGSTENS:
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!!
Installiere eine Firewall (falls du keinen Router hat), den Outpost oder den Sygate.....
<Sygate (Deutsch)Firewall
http://www.sygate.de/
<Supportforum(Sygate, Firewall)
http://forum.webmart.de/wmmsg.cfm?id=21 ... &t=2141055
<PC-Selbsttest (fuehre alle Schritte aus)
http://check.lfd.niedersachsen.de/start.php
Dann poste das Ergebnis vom Selbsttest.
mfg
Nikita
#NT- Dienste sicher konfigurieren (lade das !)
www.dingens.org
ODER WENIGSTENS:
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!!
Installiere eine Firewall (falls du keinen Router hat), den Outpost oder den Sygate.....
<Sygate (Deutsch)Firewall
http://www.sygate.de/
<Supportforum(Sygate, Firewall)
http://forum.webmart.de/wmmsg.cfm?id=21 ... &t=2141055
<PC-Selbsttest (fuehre alle Schritte aus)
http://check.lfd.niedersachsen.de/start.php
Dann poste das Ergebnis vom Selbsttest.
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Jannes am 09.10.2004, 21:25
Moin,
das mit dingens.org hab ich jetzt aktiviert, ich gehe übern router sozusagen ins netz also ein rechner ( unser fileserver ) macht das darüber gehen wir ins netz hier.
Außerdem hab ich jetzt auch mal mozilla installiert, sollte ja sicherer sein.
müsste alles clean sein
thanks nochmal für alles nikita
das mit dingens.org hab ich jetzt aktiviert, ich gehe übern router sozusagen ins netz also ein rechner ( unser fileserver ) macht das darüber gehen wir ins netz hier.
Außerdem hab ich jetzt auch mal mozilla installiert, sollte ja sicherer sein.
müsste alles clean sein
thanks nochmal für alles nikita
- Jannes
- Beiträge: 5
- Registriert: 24.09.2004, 21:07
13 Beiträge • Seite 1 von 1
Ähnliche Themen
| Mein Pc Ist Wahrscheinlich von trojaner befallen!! Forum: Online- und PC-Sicherheit Autor: User1489 Antworten: 7 |
schon wieder befallen? Forum: Online- und PC-Sicherheit Autor: mheadshot Antworten: 8 |
esearch.cc hat uns befallen! wer hilft? Forum: Online- und PC-Sicherheit Autor: antjeomahe Antworten: 1 |
mich hats auch befallen Forum: Online- und PC-Sicherheit Autor: stefmen007 Antworten: 3 |
Von SearchMiracle/EliteToolbar etc befallen, bitte helfen... Forum: Online- und PC-Sicherheit Autor: mister_tt Antworten: 35 |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste