|
Plagegeister aller Art und deren Bekämpfung: Riesen Problem bitte helft mir !Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
27.11.2004, 14:32 | #1 |
| Riesen Problem bitte helft mir ! Hey also ich hoffe ihr könnt mir weiterhelfen! undzwar hab ich das prob das wenn ich ins internet geh und den IE starte kommt von Norton eine Viruswarnmeldung! handelt sich dabei wohl um bloodhound.w32.ep da steht dann immer C:\WINDOWS\System32\pxhping.exe ist mit dem Virus Bloodhound.W32.EP infiziert. Die Datei konnte nicht repariert werden. dann klick ich auf ok und es erscheint C:\WINDOWS\System32\pxhping.exe ist mit dem Virus Bloodhound.W32.EP infiziert. Der Zugriff auf die Datei wurde verwehrt. ich klick wieder auf ok C:\WINDOWS\System32\mqbckup.exe ist mit dem Virus Bloodhound.W32.EP infiziert. Die Datei konnte nicht repariert werden. ok C:\WINDOWS\System32\mqbckup.exe ist mit dem Virus Bloodhound.W32.EP infiziert. Der Zugriff auf die Datei wurde verwehrt. und das alles bei jedem start von Internet und IE mein prob is jetzt wie bekomm ich den virus runter da ich die dateien um die es sich handelt nich auf meinem rechner finde? ausserdem öffnet sich nach ein paar minuten im netz immer eine beliebige seite und das is ganz schön nervig! weiss nich was ich jetzt machen soll hab schon auf viren gescannt nix gefunden trotzdem zeig er bei jedem start wieder das selbe an! hoffe ihr könnt mir irgendwie helfen hier meine logfile Logfile of HijackThis v1.98.2 Scan saved at 14:29:10, on 27.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ntvdm.exe C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\WINDOWS\SOINTGR.EXE C:\Programme\Norton Internet Security\IAMAPP.EXE C:\PROGRA~1\NORTON~1\navapw32.exe C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE C:\WINDOWS\System32\CTHELPER.EXE C:\WINDOWS\System32\alg.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\WINDOWS\System32\CTsvcCDA.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\Norton Internet Security\NISSERV.EXE C:\OPLIMIT\ocrawr32.exe C:\Programme\Norton Internet Security\SymProxySvc.exe C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE C:\Programme\Nikon\NkView6\NkvMon.exe C:\Programme\Norton Internet Security\ATRACK.EXE C:\Programme\FRITZ!DSL\FritzDSL.exe C:\WINDOWS\System32\pxhping.exe C:\WINDOWS\System32\mqbckup.exe C:\Programme\Internet Explorer\iexplore.exe C:\jacking\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mzee.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG F3 - REG:win.ini: load=C:\OPLIMIT\ocraware.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/ O16 - DPF: ConferenceRoom Java Client - http://www.hiphop.de:8000/java/cr.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100283896296 O17 - HKLM\System\CCS\Services\Tcpip\..\{9B433B0A-E30E-4CE3-9843-A9FDF9A4308E}: NameServer = 192.168.122.252,192.168.122.253 danke |
27.11.2004, 14:50 | #2 |
| Riesen Problem bitte helft mir ! Typisch Norton...
__________________immer wenn er irgendwas findet, was etwas sein könnte, aber nicht muß, meldet er einen "bloodhound". Schaff dir einen anderen virenscanner an, der mehr kann. So, nun zu Deinem Logfile: Es sind ein paar unbekannte drin, um die wir uns später kümmern; jetzt läßt Du die beiden folgenden erst mal bei Jotti online scannen: C:\WINDOWS\System32\pxhping.exe C:\WINDOWS\System32\mqbckup.exe Bitte poste das Ergebnis hier rein.
__________________ |
27.11.2004, 15:34 | #3 |
| Riesen Problem bitte helft mir ! hey danke für die schnelle antwort!
__________________aber das klappt nich das is ja das prob das diese dateien nich zu finden sind ! kann sie also nich scannen! die sind irgendwie garnich da !? weiss also voll nich was ich machen soll! |
27.11.2004, 15:37 | #4 |
| Riesen Problem bitte helft mir ! Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren + Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren |
27.11.2004, 15:39 | #5 |
| Riesen Problem bitte helft mir ! Hi, die Dateien sind da: Linke Maustaste auf Arbeitsplatz, Extras, Ordneroptionen, Ansicht. Hier: Häkchen wegmachen bei "geschützte Systemdateien ausblenden2, Häkchen machen bei: "alle Dateien und Ordner anzeigen". Fertig.
__________________ Der Mensch sollte eine Hundeseele haben |
27.11.2004, 16:25 | #6 |
| Riesen Problem bitte helft mir ! hey war nen ziemliches prob da trotz deiner anweisung die datei nich auftauchte! bin dann in den abgesicherten modus und da hab ich beide dann gefunden! um sie für den normal modus sichtbar zu machen hab ich sie umbenannt und versteckt! jetzt hab ich sie auch im norm. modus und mit deiner site gescannt dabei is folgendes rausgekommen! Service load: 0% 100% File: pxhping1.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: FSG AntiVir TR/Spy.Hawn.A.1 (0.15 seconds taken) Avast Win32:Trojano-796 (1.51 seconds taken) BitDefender Trojan.Clicker.Small.BR (0.31 seconds taken) ClamAV Trojan.Clicker.Small-23 (0.31 seconds taken) Dr.Web Trojan.Click.162 (0.50 seconds taken) F-Prot Antivirus No viruses found (0.06 seconds taken) Kaspersky Anti-Virus Trojan-Clicker.Win32.Small.br (0.59 seconds taken) mks_vir Trojan.Clicker.Small.Br (0.19 seconds taken) NOD32 No viruses found (0.38 seconds taken) Norman Virus Control No viruses found (0.49 seconds taken) Statistics Last piece of malware found was probably unknown NewHeur_PE in wuclient.exe, detected by: Scanner Malware name Time taken AntiVir Heuristic/Trojan.Downloader 0.14 seconds Avast X 1.51 seconds BitDefender Trojan.Downloader.Gen 0.31 seconds ClamAV X 0.32 seconds Dr.Web X 0.52 seconds F-Prot Antivirus X 0.06 seconds Kaspersky Anti-Virus Trojan-Downloader.Win32.Small.rn 0.61 seconds mks_vir X 0.25 seconds NOD32 probably unknown NewHeur_PE 0.37 seconds Norman Virus Control X 1.37 seconds Service statistics: 10852 files (7798 of those unique) have been uploaded & scanned since 05/11/2004, the day of the last database purge. 2277 of those 7798 files contained a virus or any other form of malware. This page has been visited 24951 times in this time period. This service managed to spot 133 pieces of malware no vendor used knew about at the time of uploading. The service also warned against 1049 suspicious files without any help from scanner results. However, 112 files reported to be OK were found out to be malware later (this is checked daily). As far as can be told, all this together makes this service 98.56% accurate. However, since it is very well possible malware has been uploaded no scanner knows about at this time, this number is to be taken with a proper amount of skepticism. Most popular malware: Rank Malware name Uploaded Last known filename 1 backdoor.sdbot.gen 188 times outlook.dat 2 behaveslike:trojan.downloader 176 times image.gif 3 tr/drop.delf.fd.1 84 times WINAMP~1.zip 4 backdoor.agobot.3.gen 83 times iexplore.exe 5 tr/spam.avafx 68 times vbsys.dll 6 backdoor.win32.agobot.gen 41 times fiz.exe 7 tr/dldr.inservice.i 40 times DOWNLOAD2.exe 8 win32:trojan-gen. {other} 38 times server2.exe 9 tr/dldr.small.uv.3 34 times s1p1y.exe 10 win32:trojan-gen. 26 times Access_Diver_Patch_Wordlist_Creator-_Hacker_Software_Crea_Claves_.rar 11 win32.p2p.spybot.gen 25 times dl.exe 12 behaveslike:win32.av-killer 25 times winshost.exe 13 backdoor.wootbot.gen 24 times Kopie van 1.exe.exe 14 win32.hllw.mybot.based 23 times winserva.exe 15 backdoor.agent.ec 23 times bmemjgbt.exe und Service load: 0% 100% File: mqbckup1.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: FSG AntiVir TR/Spy.Hawn.A.2 (0.15 seconds taken) Avast Win32:Trojano-797 (1.51 seconds taken) BitDefender Trojan.Clicker.Small.BR (0.31 seconds taken) ClamAV Trojan.Clicker.Small-22 (0.33 seconds taken) Dr.Web Trojan.Click.163 (0.49 seconds taken) F-Prot Antivirus No viruses found (0.06 seconds taken) Kaspersky Anti-Virus Trojan-Clicker.Win32.Small.br (0.59 seconds taken) mks_vir No viruses found (0.19 seconds taken) NOD32 Win32/TrojanClicker.Small.BR (0.36 seconds taken) Norman Virus Control No viruses found (0.51 seconds taken) Statistics Last piece of malware found was probably unknown NewHeur_PE in wuclient.exe, detected by: Scanner Malware name Time taken AntiVir Heuristic/Trojan.Downloader 0.14 seconds Avast X 1.51 seconds BitDefender Trojan.Downloader.Gen 0.31 seconds ClamAV X 0.32 seconds Dr.Web X 0.52 seconds F-Prot Antivirus X 0.06 seconds Kaspersky Anti-Virus Trojan-Downloader.Win32.Small.rn 0.61 seconds mks_vir X 0.25 seconds NOD32 probably unknown NewHeur_PE 0.37 seconds Norman Virus Control X 1.37 seconds Service statistics: 10854 files (7798 of those unique) have been uploaded & scanned since 05/11/2004, the day of the last database purge. 2277 of those 7798 files contained a virus or any other form of malware. This page has been visited 24953 times in this time period. This service managed to spot 133 pieces of malware no vendor used knew about at the time of uploading. The service also warned against 1049 suspicious files without any help from scanner results. However, 112 files reported to be OK were found out to be malware later (this is checked daily). As far as can be told, all this together makes this service 98.56% accurate. However, since it is very well possible malware has been uploaded no scanner knows about at this time, this number is to be taken with a proper amount of skepticism. Most popular malware: Rank Malware name Uploaded Last known filename 1 backdoor.sdbot.gen 188 times outlook.dat 2 behaveslike:trojan.downloader 176 times image.gif 3 tr/drop.delf.fd.1 84 times WINAMP~1.zip 4 backdoor.agobot.3.gen 83 times iexplore.exe 5 tr/spam.avafx 68 times vbsys.dll 6 backdoor.win32.agobot.gen 41 times fiz.exe 7 tr/dldr.inservice.i 40 times DOWNLOAD2.exe 8 win32:trojan-gen. {other} 38 times server2.exe 9 tr/dldr.small.uv.3 34 times s1p1y.exe 10 win32:trojan-gen. 26 times Access_Diver_Patch_Wordlist_Creator-_Hacker_Software_Crea_Claves_.rar 11 win32.p2p.spybot.gen 25 times dl.exe 12 behaveslike:win32.av-killer 25 times winshost.exe 13 backdoor.wootbot.gen 24 times Kopie van 1.exe.exe 14 win32.hllw.mybot.based 23 times winserva.exe 15 backdoor.agent.ec 23 times bmemjgbt.exe wenn ich die beiden dateien jetzt mit norton isoliere is es dann damit getan ? oder was schlägst du vor ? danke schonmal |
27.11.2004, 16:46 | #7 |
| Riesen Problem bitte helft mir ! Hi, hab ich mir gedacht. Die beiden auf jeden fall mit HJT im abgesicherten Modus fixen. die Dateien dann manuell löschen. Dann bitte neues Logfile posten.
__________________ Der Mensch sollte eine Hundeseele haben |
27.11.2004, 16:48 | #8 |
| Riesen Problem bitte helft mir ! Mach auf jeden Fall auch im abgesicherten Modus einen eScan (mwav.exe runterladen), beachte die Anleitung genauestens und poste das Ergebnis rein. Bis dann.
__________________ Der Mensch sollte eine Hundeseele haben |
28.11.2004, 14:50 | #9 |
| Riesen Problem bitte helft mir ! hey sorry das ich mich erst jetzt wieder melde aber hab alles mögliche ausprobiert! also hab die dateien im ab.modus gelöscht hab ihn dann wieder normal hochgefahren dann kam die virenmeldung aber wieder und auch noch eine dritte sfcr.exe hab durch zufall grad nen thread hier gelesen wo drinsteht das man die systemwiederherstellung ausschalten muss versuch das ganze also nochma mit escan hab ich auch gemacht aber was da raus kam hat mich doch echt geschockt! angeblich hab ich 280 viren aufm pc ??? kann das denn sein oder läuft da irgendwas falsch kann ich mir kaum vorstellen! weil alle anderen progz finden ja nich so viele! hab mir jetzt noch nen prog besorgt das werd ich ma im ab modus durchlaufen lassen und dann will ich ma hoffen das es dann so langsam ma klappt! oder hat hier irgendjemand noch nen anderen vorschlag! bitte helft mir! |
28.11.2004, 15:03 | #10 |
| Riesen Problem bitte helft mir ! Mach bei deaktivierter Systemwiederherstellung genau das, ws ich Dir unten gepostet hab. Diese Version von eScan beseitigt auch Probleme. Ws dann noch über sein sollte, schauen wir extra an. Und du kannst schon glauben, ws eScan gefunden hat. Außerdem wäre das eScan Log nach einem jetzt erneuten scan sehr interessant. Sieh unten. cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
28.11.2004, 17:59 | #11 |
| Riesen Problem bitte helft mir ! so hab die dateien jetzt gelöscht und im norm. modus kommt auch keine virusmeldung mehr! in der logfile taucht es auch nich mehr auf! die ungewünschten seiten öffnen sich auch nich mehr! werd jetzt nochma das ein oder andere prog durchlaufen lassen und hoffe das es damit getan is! mit deinem escan klappt daS nich wenn ich das von deiner site runterlade zeigt der immer an das die version zu alt is und ich es von einer anderen site runteladen soll somit kann ich die fehler nich beheben die er findet! dafür müsste ich das kaufen steht da weiss nich wie ich das jetzt machen soll da das ja das einzige prog war das soooo viele viren gefunden hat! naja vielen dank für die super hilfe hätte das nich ohne euch geschafft! danke |
28.11.2004, 18:30 | #12 |
| Riesen Problem bitte helft mir ! Wenn es heißt, "runterladen", dann mach das in den Ordner C:\bases, wie in der Anleitung beschrieben, dort entpacken, updaten (kavupd.exe) und laufen lassen(mwavscan.com). Funktioniert auch bei den anderen, warum solte es bei Dir nicht gehen?
__________________ Der Mensch sollte eine Hundeseele haben |
29.11.2004, 19:53 | #13 |
| Riesen Problem bitte helft mir ! Hey also hab es so gemacht wie du mir gesagt hast und siehe da es funkt hab die nacht escan durchlaufen lassen und er hat alles gelöscht was zu löschen war! hoffe jetzt is endgültig ruhe! ok vielen danke nochma hoffe ich brauch so schnell nich wieder euren rat danke |
29.11.2004, 19:54 | #14 |
| Riesen Problem bitte helft mir ! Na, das ist ja schön :aplaus: Aber ein Abschluß-Logfile wäre doch auch noch was, oder?
__________________ Der Mensch sollte eine Hundeseele haben |
Themen zu Riesen Problem bitte helft mir ! |
.inf, adobe, antivirus, bho, dateien, drivers, dsl, explorer, hijack, hijackthis, icq, internet, internet explorer, internet security, meinem, microsoft, monitor, norton internet security, packard bell, problem, programme, rundll, security, security center, software, sun java, symantec, system, tcpip, viren, windows, windows xp, windows\system32\drivers, öffnet |