*http://searchmiracle.com* command32.exe [W32/Rbot-LV]
23 Beiträge • Seite 1 von 2 • 1, 2
*http://searchmiracle.com* command32.exe [W32/Rbot-LV]
von strohmas am 27.10.2004, 18:53
hallo,
ich hab ein Problem, welches die Ordner- und Dateikonstellation angeht:
Ich habe gestern Sims 2 gespielt. Nachdem ich das Spiel wieder geschlossen habe, war meine Festplatte, wo sich wichtige Daten befanden total destrukturiert wurden. Ich fand nun irgendwelche Ordner und Dateien nach keinem Prinzip geordnet vor. Die Ordner- und Dateinamen enthielten Sonderzeichen bzw. Kästchen, Pfeile und Striche irgendwie durcheinander gewirbelt. Die Ordner- und Dateianzahl stimmt natürlich nicht mit der normalen überein. Aber die Eigenschaften der Festplatte sagen, das ca. 80 GB belegt und ca. 80 frei sind, was richtig ist.
Das Problem hatte ich schon mal vor ungefähr einer Woche auf der gleichen Festplatte, aber auf einer anderen Partition, da lag es aber nicht an Sims 2, sondern kam einfach so. Diese Partition war aber zum Glück leer, trotzdem wurden dort willkürlich irgendwelche Ordner und Dateinamen (natürlich mit Sonderzeichen und so) erstellt. Die Partition habe ich dann einfach formatiert.
Vielleicht ist es ein Bootsektor-Virus oder so, ich weiss es nicht, und weiss auch nicht, wie man dass Prüfen kann.
Betriebssystem: Windows 2000 SP4
Datei-Explorer: SpeedCommander
ich hab ein Problem, welches die Ordner- und Dateikonstellation angeht:
Ich habe gestern Sims 2 gespielt. Nachdem ich das Spiel wieder geschlossen habe, war meine Festplatte, wo sich wichtige Daten befanden total destrukturiert wurden. Ich fand nun irgendwelche Ordner und Dateien nach keinem Prinzip geordnet vor. Die Ordner- und Dateinamen enthielten Sonderzeichen bzw. Kästchen, Pfeile und Striche irgendwie durcheinander gewirbelt. Die Ordner- und Dateianzahl stimmt natürlich nicht mit der normalen überein. Aber die Eigenschaften der Festplatte sagen, das ca. 80 GB belegt und ca. 80 frei sind, was richtig ist.
Das Problem hatte ich schon mal vor ungefähr einer Woche auf der gleichen Festplatte, aber auf einer anderen Partition, da lag es aber nicht an Sims 2, sondern kam einfach so. Diese Partition war aber zum Glück leer, trotzdem wurden dort willkürlich irgendwelche Ordner und Dateinamen (natürlich mit Sonderzeichen und so) erstellt. Die Partition habe ich dann einfach formatiert.
Vielleicht ist es ein Bootsektor-Virus oder so, ich weiss es nicht, und weiss auch nicht, wie man dass Prüfen kann.
Betriebssystem: Windows 2000 SP4
Datei-Explorer: SpeedCommander
- strohmas
- Beiträge: 29
- Registriert: 27.10.2004, 18:25
von GrayGhost am 27.10.2004, 20:38
Hallo, dein Problem scheint besser in die Rubrik Online und PC-Sicherheit. Ich vermute stark, dass du dir etwas eingefangen hast. Ich verschiebe das Thema mal dorthin.
- GrayGhost
von Nikita am 27.10.2004, 21:08
HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip
Lade das Tool, scann, save <es oeffnet sich das Notepad, nun das Log abkopieren und posten)
mfg
Nikita
<zip<
http://www.downloads.subratam.org/hijackthis.zip
Lade das Tool, scann, save <es oeffnet sich das Notepad, nun das Log abkopieren und posten)
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von strohmas am 28.10.2004, 18:10
Logfile of HijackThis v1.98.2
Scan saved at 18:10:15, on 28.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\CTsvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\eDonkey2000\eDonkey2000.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\WINNT\System32\svchost.exe
D:\Programme\Trillian\trillian.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\cashcrawler\cashcrawler_surfbar.exe
D:\Programme\mysurfbar.com\mysurfbar.exe
D:\Programme\IncrediMail\bin\IncMail.exe
D:\PROGRA~1\INCRED~1\bin\IMAPP.EXE
C:\Programme\SpeedProject\SpeedCommander 10\SpeedCommander.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\SQZ1B.tmp\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: (no name) - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [eDonkey2000] "C:\Programme\eDonkey2000\eDonkey2000.exe" -t
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL (file missing)
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... b0907ede44
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... _adult.cab
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4. ... egular.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9B12D9F-C047-4AC6-8399-27A748F17160}: NameServer = 192.168.0.1
Scan saved at 18:10:15, on 28.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\CTsvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\eDonkey2000\eDonkey2000.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\WINNT\System32\svchost.exe
D:\Programme\Trillian\trillian.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\cashcrawler\cashcrawler_surfbar.exe
D:\Programme\mysurfbar.com\mysurfbar.exe
D:\Programme\IncrediMail\bin\IncMail.exe
D:\PROGRA~1\INCRED~1\bin\IMAPP.EXE
C:\Programme\SpeedProject\SpeedCommander 10\SpeedCommander.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\SQZ1B.tmp\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: (no name) - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [eDonkey2000] "C:\Programme\eDonkey2000\eDonkey2000.exe" -t
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL (file missing)
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... b0907ede44
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... _adult.cab
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4. ... egular.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9B12D9F-C047-4AC6-8399-27A748F17160}: NameServer = 192.168.0.1
- strohmas
- Beiträge: 29
- Registriert: 27.10.2004, 18:25
von strohmas am 28.10.2004, 18:52
ich habe aber die Festplatte abgeklemmt, damit nichts schlimmeres passiert, die logfile ist also ohne der festplatte!
- strohmas
- Beiträge: 29
- Registriert: 27.10.2004, 18:25
von Nikita am 28.10.2004, 21:17
Hallo@strohmas
oeffne das Hijackthis,<scan< hake an< fix < PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - (no file)
O3 - Toolbar: (no name) - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - (no file)
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... b0907ede44
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... _adult.cab
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4. ... egular.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
NEUSTARTEN
#deinstalliere\Loesche:
<D:\Programme\mysurfbar.com\mysurfbar.exe
<C:\Programme\cashcrawler\cashcrawler_surfbar.exe
#TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt
http://www.almisoft.de/traxex2.htm
Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen
#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
Temporary Internet Files, O.K
Temporary Files, O.K
#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen
#saeubere\optimiere den PC
#TuneUp2004 (30 Tage free)
http://www.tuneup.de/download/
____________________________________________________________
<Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.rokop-security.de/board/inde ... topic=3867
*
und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten
zusammen mit dem neuen Log vom HijackThis
--------------------
Tip:
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!!
mfg
Nikita
oeffne das Hijackthis,<scan< hake an< fix < PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - (no file)
O3 - Toolbar: (no name) - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - (no file)
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... b0907ede44
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... _adult.cab
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4. ... egular.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
NEUSTARTEN
#deinstalliere\Loesche:
<D:\Programme\mysurfbar.com\mysurfbar.exe
<C:\Programme\cashcrawler\cashcrawler_surfbar.exe
#TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt
http://www.almisoft.de/traxex2.htm
Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen
#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
Temporary Internet Files, O.K
Temporary Files, O.K
#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen
#saeubere\optimiere den PC
#TuneUp2004 (30 Tage free)
http://www.tuneup.de/download/
____________________________________________________________
<Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.rokop-security.de/board/inde ... topic=3867
*
und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten
zusammen mit dem neuen Log vom HijackThis
--------------------
Tip:
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!!
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von strohmas am 29.10.2004, 16:31
Hier die Log von escan (nur infected)
Fri Oct 29 15:47:42 2004 => File C:\WINNT\system32\command32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:47:45 2004 => File C:\WINNT\system32\comsvcs.exe infected by "TrojanDownloader.Win32.Agent.am" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:47:55 2004 => File C:\WINNT\system32\flxd3r.exe infected by "Exploit.Win32.DCom.v" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:48:21 2004 => File C:\WINNT\system32\fn7x.exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:48:48 2004 => File C:\WINNT\system32\drivers\etc\mnyz.exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:49:41 2004 => File C:\WINNT\system32\command32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:49:43 2004 => File C:\WINNT\system32\comsvcs.exe infected by "TrojanDownloader.Win32.Agent.am" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:49:47 2004 => File C:\WINNT\system32\winstat\emoti.bat infected by "Trojan.BAT.Zapchast" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:49:50 2004 => File C:\WINNT\system32\flxd3r.exe infected by "Exploit.Win32.DCom.v" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:50:12 2004 => File C:\WINNT\system32\fn7x.exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:55:16 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\iinstall.exe infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:38 2004 => File C:\Dokumente und Einstellungen\Administrator\fn7x.exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:38 2004 => File C:\Dokumente und Einstellungen\Administrator\flxd3r.exe infected by "Exploit.Win32.DCom.v" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:39 2004 => File C:\Dokumente und Einstellungen\Administrator\Internet Optimizer\optimize.exe infected by "TrojanDownloader.Win32.Dyfuca.da" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:40 2004 => File C:\Dokumente und Einstellungen\silli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\670RG9I9\silent[1].exe infected by "TrojanClicker.Win32.Delf.ah" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:40 2004 => File C:\Dokumente und Einstellungen\silli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\670RG9I9\mnyz[1].exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:40 2004 => File C:\Dokumente und Einstellungen\silli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\670RG9I9\flxd3r[1].exe infected by "Exploit.Win32.DCom.v" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:40 2004 => File C:\Dokumente und Einstellungen\silli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A1UJUZA9\sbc[2].exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:40 2004 => File C:\Dokumente und Einstellungen\silli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A1UJUZA9\sbc[1].exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:41 2004 => File C:\Dokumente und Einstellungen\silli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A1UJUZA9\tool[1].exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:41 2004 => File C:\Dokumente und Einstellungen\silli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A1UJUZA9\bobby[1].exe infected by "TrojanDownloader.Win32.Small.sg" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:41 2004 => File C:\Dokumente und Einstellungen\silli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HU30TMV\bobby[2].exe infected by "TrojanDownloader.Win32.Small.sg" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:41 2004 => File C:\Dokumente und Einstellungen\silli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HU30TMV\bobby[1].exe infected by "TrojanDownloader.Win32.Small.sg" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:41 2004 => File C:\Dokumente und Einstellungen\silli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HU30TMV\netfix[1].exe infected by "TrojanClicker.Win32.Delf.ah" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:41 2004 => File C:\Dokumente und Einstellungen\silli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HU30TMV\mtrslib2[1].js infected by "Exploit.CodeBaseExec" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:42 2004 => File C:\Dokumente und Einstellungen\silli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDA9QZMJ\silent[1].exe infected by "TrojanClicker.Win32.Delf.ah" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:42 2004 => File C:\Dokumente und Einstellungen\silli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDA9QZMJ\fn7x[1].exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:43 2004 => File C:\Dokumente und Einstellungen\thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\670RG9I9\silent[1].exe infected by "TrojanClicker.Win32.Delf.ah" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:44 2004 => File C:\Dokumente und Einstellungen\thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\670RG9I9\mnyz[1].exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:44 2004 => File C:\Dokumente und Einstellungen\thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\670RG9I9\flxd3r[1].exe infected by "Exploit.Win32.DCom.v" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:44 2004 => File C:\Dokumente und Einstellungen\thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A1UJUZA9\sbc[2].exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:44 2004 => File C:\Dokumente und Einstellungen\thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A1UJUZA9\bobby[1].exe infected by "TrojanDownloader.Win32.Small.sg" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:44 2004 => File C:\Dokumente und Einstellungen\thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A1UJUZA9\tool[1].exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:44 2004 => File C:\Dokumente und Einstellungen\thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A1UJUZA9\sbc[1].exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:44 2004 => File C:\Dokumente und Einstellungen\thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HU30TMV\bobby[1].exe infected by "TrojanDownloader.Win32.Small.sg" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:44 2004 => File C:\Dokumente und Einstellungen\thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HU30TMV\bobby[2].exe infected by "TrojanDownloader.Win32.Small.sg" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:45 2004 => File C:\Dokumente und Einstellungen\thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HU30TMV\mtrslib2[1].js infected by "Exploit.CodeBaseExec" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:45 2004 => File C:\Dokumente und Einstellungen\thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HU30TMV\netfix[1].exe infected by "TrojanClicker.Win32.Delf.ah" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:45 2004 => File C:\Dokumente und Einstellungen\thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDA9QZMJ\silent[1].exe infected by "TrojanClicker.Win32.Delf.ah" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:45 2004 => File C:\Dokumente und Einstellungen\thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDA9QZMJ\fn7x[1].exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 16:04:22 2004 => File C:\counter.cab infected by "TrojanDropper.Win32.Agent.az" Virus. Action Taken: No Action Taken.
Fri Oct 29 16:04:39 2004 => File C:\fn7x.exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Hier die Hijacklog:
Logfile of HijackThis v1.98.2
Scan saved at 16:30:41, on 29.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\CTsvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\TraXEx\TraXEx.exe
C:\Download\reinigung\escan\mwavscan.com
C:\Download\reinigung\escan\kavss.exe
C:\WINNT\system32\notepad.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\SpeedProject\SpeedCommander 10\SpeedCommander.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\SQZ6EA.tmp\HijackThis.exe
O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: TraXEx.lnk = C:\Programme\TraXEx\TraXEx.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL (file missing)
O16 - DPF: v3cab -
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} -
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} -
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9B12D9F-C047-4AC6-8399-27A748F17160}: NameServer = 192.168.0.1
Fri Oct 29 15:47:42 2004 => File C:\WINNT\system32\command32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:47:45 2004 => File C:\WINNT\system32\comsvcs.exe infected by "TrojanDownloader.Win32.Agent.am" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:47:55 2004 => File C:\WINNT\system32\flxd3r.exe infected by "Exploit.Win32.DCom.v" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:48:21 2004 => File C:\WINNT\system32\fn7x.exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:48:48 2004 => File C:\WINNT\system32\drivers\etc\mnyz.exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:49:41 2004 => File C:\WINNT\system32\command32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:49:43 2004 => File C:\WINNT\system32\comsvcs.exe infected by "TrojanDownloader.Win32.Agent.am" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:49:47 2004 => File C:\WINNT\system32\winstat\emoti.bat infected by "Trojan.BAT.Zapchast" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:49:50 2004 => File C:\WINNT\system32\flxd3r.exe infected by "Exploit.Win32.DCom.v" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:50:12 2004 => File C:\WINNT\system32\fn7x.exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:55:16 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\iinstall.exe infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:38 2004 => File C:\Dokumente und Einstellungen\Administrator\fn7x.exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:38 2004 => File C:\Dokumente und Einstellungen\Administrator\flxd3r.exe infected by "Exploit.Win32.DCom.v" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:39 2004 => File C:\Dokumente und Einstellungen\Administrator\Internet Optimizer\optimize.exe infected by "TrojanDownloader.Win32.Dyfuca.da" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:40 2004 => File C:\Dokumente und Einstellungen\silli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\670RG9I9\silent[1].exe infected by "TrojanClicker.Win32.Delf.ah" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:40 2004 => File C:\Dokumente und Einstellungen\silli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\670RG9I9\mnyz[1].exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:40 2004 => File C:\Dokumente und Einstellungen\silli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\670RG9I9\flxd3r[1].exe infected by "Exploit.Win32.DCom.v" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:40 2004 => File C:\Dokumente und Einstellungen\silli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A1UJUZA9\sbc[2].exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:40 2004 => File C:\Dokumente und Einstellungen\silli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A1UJUZA9\sbc[1].exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:41 2004 => File C:\Dokumente und Einstellungen\silli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A1UJUZA9\tool[1].exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:41 2004 => File C:\Dokumente und Einstellungen\silli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A1UJUZA9\bobby[1].exe infected by "TrojanDownloader.Win32.Small.sg" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:41 2004 => File C:\Dokumente und Einstellungen\silli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HU30TMV\bobby[2].exe infected by "TrojanDownloader.Win32.Small.sg" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:41 2004 => File C:\Dokumente und Einstellungen\silli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HU30TMV\bobby[1].exe infected by "TrojanDownloader.Win32.Small.sg" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:41 2004 => File C:\Dokumente und Einstellungen\silli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HU30TMV\netfix[1].exe infected by "TrojanClicker.Win32.Delf.ah" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:41 2004 => File C:\Dokumente und Einstellungen\silli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HU30TMV\mtrslib2[1].js infected by "Exploit.CodeBaseExec" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:42 2004 => File C:\Dokumente und Einstellungen\silli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDA9QZMJ\silent[1].exe infected by "TrojanClicker.Win32.Delf.ah" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:42 2004 => File C:\Dokumente und Einstellungen\silli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDA9QZMJ\fn7x[1].exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:43 2004 => File C:\Dokumente und Einstellungen\thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\670RG9I9\silent[1].exe infected by "TrojanClicker.Win32.Delf.ah" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:44 2004 => File C:\Dokumente und Einstellungen\thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\670RG9I9\mnyz[1].exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:44 2004 => File C:\Dokumente und Einstellungen\thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\670RG9I9\flxd3r[1].exe infected by "Exploit.Win32.DCom.v" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:44 2004 => File C:\Dokumente und Einstellungen\thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A1UJUZA9\sbc[2].exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:44 2004 => File C:\Dokumente und Einstellungen\thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A1UJUZA9\bobby[1].exe infected by "TrojanDownloader.Win32.Small.sg" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:44 2004 => File C:\Dokumente und Einstellungen\thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A1UJUZA9\tool[1].exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:44 2004 => File C:\Dokumente und Einstellungen\thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A1UJUZA9\sbc[1].exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:44 2004 => File C:\Dokumente und Einstellungen\thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HU30TMV\bobby[1].exe infected by "TrojanDownloader.Win32.Small.sg" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:44 2004 => File C:\Dokumente und Einstellungen\thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HU30TMV\bobby[2].exe infected by "TrojanDownloader.Win32.Small.sg" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:45 2004 => File C:\Dokumente und Einstellungen\thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HU30TMV\mtrslib2[1].js infected by "Exploit.CodeBaseExec" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:45 2004 => File C:\Dokumente und Einstellungen\thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HU30TMV\netfix[1].exe infected by "TrojanClicker.Win32.Delf.ah" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:45 2004 => File C:\Dokumente und Einstellungen\thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDA9QZMJ\silent[1].exe infected by "TrojanClicker.Win32.Delf.ah" Virus. Action Taken: No Action Taken.
Fri Oct 29 15:56:45 2004 => File C:\Dokumente und Einstellungen\thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDA9QZMJ\fn7x[1].exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Fri Oct 29 16:04:22 2004 => File C:\counter.cab infected by "TrojanDropper.Win32.Agent.az" Virus. Action Taken: No Action Taken.
Fri Oct 29 16:04:39 2004 => File C:\fn7x.exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: No Action Taken.
Hier die Hijacklog:
Logfile of HijackThis v1.98.2
Scan saved at 16:30:41, on 29.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\CTsvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\TraXEx\TraXEx.exe
C:\Download\reinigung\escan\mwavscan.com
C:\Download\reinigung\escan\kavss.exe
C:\WINNT\system32\notepad.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\SpeedProject\SpeedCommander 10\SpeedCommander.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\SQZ6EA.tmp\HijackThis.exe
O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: TraXEx.lnk = C:\Programme\TraXEx\TraXEx.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL (file missing)
O16 - DPF: v3cab -
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} -
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} -
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9B12D9F-C047-4AC6-8399-27A748F17160}: NameServer = 192.168.0.1
- strohmas
- Beiträge: 29
- Registriert: 27.10.2004, 18:25
von Nikita am 29.10.2004, 16:52
Hallo@strohmas
oeffne das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINNT\system32\command32.exe
<PC neustarten
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\fn7x.exe
<PC neustarten
Das machst du mit allen exe und .cab-Dateien.
#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
Temporary Internet Files, O.K
Temporary Files, O.K
Erst im Normal-Modus und dann im abgesicherten Modus als Administrator:
Dann Start<Ausfuehren< reinkopieren. %temp%
Dort leerst du:
#Leere die Odner (nicht die Ordner selbst loeschen:
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.*
Dann scanne noch mal mit eScan und berichte.
mfg
Nikita
oeffne das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINNT\system32\command32.exe
<PC neustarten
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\fn7x.exe
<PC neustarten
Das machst du mit allen exe und .cab-Dateien.
#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
Temporary Internet Files, O.K
Temporary Files, O.K
Erst im Normal-Modus und dann im abgesicherten Modus als Administrator:
Dann Start<Ausfuehren< reinkopieren. %temp%
Dort leerst du:
#Leere die Odner (nicht die Ordner selbst loeschen:
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.*
Dann scanne noch mal mit eScan und berichte.
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von strohmas am 30.10.2004, 12:09
In der Log sind die gleichen Dateien, wie bei der ersten Durchsuchung. Liegt vielleicht an Shareware, deshalb hab ich hier die Virus log Infomations gepostet:
File C:\WINNT\system32\command32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\command32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\winstat\wshield.exe tagged as not-a-virus:RiskWare.FTP.SlimFTPd.312b. No Action Taken.
File C:\WINNT\system32\winstat\cult.exe tagged as not-a-virus:RiskWare.Tool.PrcView.3725. No Action Taken.
File C:\WINNT\Downloaded Program Files\CONFLICT.1\MediaTicketsInstaller.ocx tagged as not-a-virus:AdWare.MediaTickets.f. No Action Taken.
File C:\WINNT\Downloaded Program Files\imloader.exe tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken.
File C:\WINNT\Downloaded Program Files\rundlg32.dll tagged as not-a-virus:AdWare.Toolbar.SBSoft.f. No Action Taken.
Was bringt das ganze Scannen eigentlich, bis jetzt hab ich noch kein Sinn gesehen??
File C:\WINNT\system32\command32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\command32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\winstat\wshield.exe tagged as not-a-virus:RiskWare.FTP.SlimFTPd.312b. No Action Taken.
File C:\WINNT\system32\winstat\cult.exe tagged as not-a-virus:RiskWare.Tool.PrcView.3725. No Action Taken.
File C:\WINNT\Downloaded Program Files\CONFLICT.1\MediaTicketsInstaller.ocx tagged as not-a-virus:AdWare.MediaTickets.f. No Action Taken.
File C:\WINNT\Downloaded Program Files\imloader.exe tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken.
File C:\WINNT\Downloaded Program Files\rundlg32.dll tagged as not-a-virus:AdWare.Toolbar.SBSoft.f. No Action Taken.
Was bringt das ganze Scannen eigentlich, bis jetzt hab ich noch kein Sinn gesehen??
- strohmas
- Beiträge: 29
- Registriert: 27.10.2004, 18:25
von Nikita am 30.10.2004, 15:28
Hallo@strohmas
Es ist hoechst eigenartig, dass dein Sophos SWEEP den Backdoor nicht erkennt ......
W32/Rbot-LV kann gedrückte Tasten speichern, Windows-Kennwörter stehlen, DDoS-Attacken durchführen und Schlüssel für bestimmte Software-Produkte stehlen.
Gehe in die Registry
Start<Ausfuehren<regedit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
loesche:
candy = command32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
loesche:
candy = command32.exe
W32/Rbot-LV kann außerdem den folgenden Registrierungseintrag erstellen:
HKCU\Software\Microsoft\OLE\
loesche:
candy = "command32.exe"
schliesse die Registry und staerte den PC neu
#oeffne das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINNT\system32\command32.exe
PC neustarten
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINNT\Downloaded Program Files\rundlg32.dll
PC neustarten
#deaktiviere deinen jetzigen Virenscanner und lade:
http://www.mwti.net/antivirus/escan/esc ... ivirus.asp (15-Tage- trial-Freeversion)
klicke auf: awn2k3e.exe
Scanne im abgesicherten Modus und dann noch mal mit dem Erkennungstool <eScan< (mwav.exe ) Dann musste alles sauber sein
Das sind keine Viren, sondern Programme (Risikoprogramme)
Die werden nicht geloescht. (vom Virenscanner)
C:\WINNT\system32\winstat\wshield.exe tagged as not-a-virus:RiskWare.FTP.SlimFTPd.312b. No Action Taken.
File C:\WINNT\system32\winstat\cult.exe tagged as not-a-virus:RiskWare.Tool.PrcView.3725. No Action Taken.
Dann poste bitte auch das Log vom HijackThis noch einmal.
mfg
Nikita
http://www.sophos.de/virusinfo/analyses/w32rbotlv.html
Es ist hoechst eigenartig, dass dein Sophos SWEEP den Backdoor nicht erkennt ......
W32/Rbot-LV kann gedrückte Tasten speichern, Windows-Kennwörter stehlen, DDoS-Attacken durchführen und Schlüssel für bestimmte Software-Produkte stehlen.
Gehe in die Registry
Start<Ausfuehren<regedit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
loesche:
candy = command32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
loesche:
candy = command32.exe
W32/Rbot-LV kann außerdem den folgenden Registrierungseintrag erstellen:
HKCU\Software\Microsoft\OLE\
loesche:
candy = "command32.exe"
schliesse die Registry und staerte den PC neu
#oeffne das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINNT\system32\command32.exe
PC neustarten
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINNT\Downloaded Program Files\rundlg32.dll
PC neustarten
#deaktiviere deinen jetzigen Virenscanner und lade:
http://www.mwti.net/antivirus/escan/esc ... ivirus.asp (15-Tage- trial-Freeversion)
klicke auf: awn2k3e.exe
Scanne im abgesicherten Modus und dann noch mal mit dem Erkennungstool <eScan< (mwav.exe ) Dann musste alles sauber sein
Das sind keine Viren, sondern Programme (Risikoprogramme)
Die werden nicht geloescht. (vom Virenscanner)
C:\WINNT\system32\winstat\wshield.exe tagged as not-a-virus:RiskWare.FTP.SlimFTPd.312b. No Action Taken.
File C:\WINNT\system32\winstat\cult.exe tagged as not-a-virus:RiskWare.Tool.PrcView.3725. No Action Taken.
Dann poste bitte auch das Log vom HijackThis noch einmal.
mfg
Nikita
http://www.sophos.de/virusinfo/analyses/w32rbotlv.html
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von strohmas am 31.10.2004, 20:09
Logfile of HijackThis v1.98.2
Scan saved at 19:08:34, on 31.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\CTsvcCDA.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\eScan\avpm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\locator.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Azureus\Azureus.exe
C:\Programme\Java\j2re1.4.2_06\bin\javaw.exe
C:\Programme\SpeedProject\SpeedCommander 10\SpeedCommander.exe
C:\Download\reinigung\HijackThis.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL (file missing)
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: v3cab -
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} -
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9B12D9F-C047-4AC6-8399-27A748F17160}: NameServer = 192.168.0.1
Scan saved at 19:08:34, on 31.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\CTsvcCDA.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\eScan\avpm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\locator.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Azureus\Azureus.exe
C:\Programme\Java\j2re1.4.2_06\bin\javaw.exe
C:\Programme\SpeedProject\SpeedCommander 10\SpeedCommander.exe
C:\Download\reinigung\HijackThis.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL (file missing)
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: v3cab -
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} -
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9B12D9F-C047-4AC6-8399-27A748F17160}: NameServer = 192.168.0.1
- strohmas
- Beiträge: 29
- Registriert: 27.10.2004, 18:25
von Nikita am 31.10.2004, 20:19
Hallo@strohmas 
Gehe in die Registry
Start -> Ausführen -> regedit -> Bearbeiten -> Suchen ->
suche und loesche alle Eintrage mit:
<{825CF5BD-8862-4430-B771-0C15C5CA8DEF}
<{28CAEFF3-0F18-4036-B504-51D73BD81ABC}
<v3cab
<EliteBar
<{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}
zum Beispiel:
<HKEY_LOCAL_MACHINE\SOFTWARE\backup\EliteBar
<HKEY_LOCAL_MACHINE\SOFTWARE\Elitum\EliteBar
<HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{28CAEFF3-0F18-4036-B504-51D73BD81ABC}
<HKEY_CLASSES_ROOT\clsid\{28CAEFF3-0F18-4036-B504-51D73BD81ABC}
<HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser {28CAEFF3-0F18-4036-B504-51D73BD81ABC}
<HKEY_CLASSES_ROOT\clsid\{825CF5BD-8862-4430-B771-0C15C5CA8DEF}
<HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{825CF5BD-8862-4430-B771-0C15C5CA8DEF}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser {825CF5BD-8862-4430-B771-0C15C5CA8DEF}
<HKEY_CLASSES_ROOT\clsid\v3cab
<HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\v3cab
_______________________________________________________________
Fixe:
O16 - DPF: v3cab -
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} -
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} -
Das Log ist ansonsten o.k. nun fehlt nur noch das Scanergebnis vom Erkennungstool <eScan< (mwav.exe )
___________________________________________________________
und du musst UNBEDINGT deine laufenden Dienste aus Sicherheitsgruenden ueberpruefen !
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!!
NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
mfg
Nikita
*****
http://www.giantcompany.com/antispyware ... teBar.aspx
Gehe in die Registry
Start -> Ausführen -> regedit -> Bearbeiten -> Suchen ->
suche und loesche alle Eintrage mit:
<{825CF5BD-8862-4430-B771-0C15C5CA8DEF}
<{28CAEFF3-0F18-4036-B504-51D73BD81ABC}
<v3cab
<EliteBar
<{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}
zum Beispiel:
<HKEY_LOCAL_MACHINE\SOFTWARE\backup\EliteBar
<HKEY_LOCAL_MACHINE\SOFTWARE\Elitum\EliteBar
<HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{28CAEFF3-0F18-4036-B504-51D73BD81ABC}
<HKEY_CLASSES_ROOT\clsid\{28CAEFF3-0F18-4036-B504-51D73BD81ABC}
<HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser {28CAEFF3-0F18-4036-B504-51D73BD81ABC}
<HKEY_CLASSES_ROOT\clsid\{825CF5BD-8862-4430-B771-0C15C5CA8DEF}
<HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{825CF5BD-8862-4430-B771-0C15C5CA8DEF}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser {825CF5BD-8862-4430-B771-0C15C5CA8DEF}
<HKEY_CLASSES_ROOT\clsid\v3cab
<HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\v3cab
_______________________________________________________________
Fixe:
O16 - DPF: v3cab -
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} -
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} -
Das Log ist ansonsten o.k. nun fehlt nur noch das Scanergebnis vom Erkennungstool <eScan< (mwav.exe )
___________________________________________________________
und du musst UNBEDINGT deine laufenden Dienste aus Sicherheitsgruenden ueberpruefen !
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!!
NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
mfg
Nikita
*****
http://www.giantcompany.com/antispyware ... teBar.aspx
Zuletzt geändert von Nikita am 31.10.2004, 21:59, insgesamt 2-mal geändert.
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von strohmas am 31.10.2004, 21:39
so, bei escan kommt nichts mehr:
Sun Oct 31 20:38:54 2004 => ***** Scanning complete. *****
Sun Oct 31 20:38:54 2004 => Total Files Scanned: 48710
Sun Oct 31 20:38:54 2004 => Total Virus(es) Found: 0
Sun Oct 31 20:38:54 2004 => Total Disinfected Files: 0
Sun Oct 31 20:38:54 2004 => Total Files Renamed: 0
Sun Oct 31 20:38:54 2004 => Total Deleted Files: 0
Sun Oct 31 20:38:54 2004 => Total Errors: 2
Sun Oct 31 20:38:54 2004 => Time Elapsed: 00:36:48
Sun Oct 31 20:38:54 2004 => Virus Database Date: 2004/10/29
Sun Oct 31 20:38:54 2004 => Virus Database Count: 106504
Sun Oct 31 20:38:54 2004 => Scan Completed.
Sun Oct 31 20:38:54 2004 => ***** Scanning complete. *****
Sun Oct 31 20:38:54 2004 => Total Files Scanned: 48710
Sun Oct 31 20:38:54 2004 => Total Virus(es) Found: 0
Sun Oct 31 20:38:54 2004 => Total Disinfected Files: 0
Sun Oct 31 20:38:54 2004 => Total Files Renamed: 0
Sun Oct 31 20:38:54 2004 => Total Deleted Files: 0
Sun Oct 31 20:38:54 2004 => Total Errors: 2
Sun Oct 31 20:38:54 2004 => Time Elapsed: 00:36:48
Sun Oct 31 20:38:54 2004 => Virus Database Date: 2004/10/29
Sun Oct 31 20:38:54 2004 => Virus Database Count: 106504
Sun Oct 31 20:38:54 2004 => Scan Completed.
- strohmas
- Beiträge: 29
- Registriert: 27.10.2004, 18:25
von Nikita am 31.10.2004, 22:39
Nun poste noch mal das neue Log vom HijackThis.
Saeubere\optimiere vorher den PC
#TuneUp2004 (30 Tage free)
http://www.tuneup.de/download/
mfg
Nikita
Saeubere\optimiere vorher den PC
#TuneUp2004 (30 Tage free)
http://www.tuneup.de/download/
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
23 Beiträge • Seite 1 von 2 • 1, 2
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste