Spy Bot, Add Aware, CWS haben versagt :-(

BAMBI · 24.11.2004, 15:02

Hi ihr lieben Leuts. Mein Rechner hat sich was eingefangen und wird es nicht mehr los. Hoffentlich wisst ihr was!! Danke

Logfile of HijackThis v1.98.2
Scan saved at 13:36:00, on 24.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System\MSMSGSVC.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Spyware Doctor\spydoctor.exe
C:\Dokumente und Einstellungen\D. Harald Alke\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINDOWS\System\MSMSGSVC.exe
O4 - HKCU\..\Run: [Spyware Doctor] "D:\Programme\Spyware Doctor\spydoctor.exe" /Q

Haui45 · 24.11.2004, 15:04

Ist das wirklich das ganze Logfile?
Wenn nicht, dann poste es nochmal.

BAMBI · 24.11.2004, 22:04

Also viel mehr ist das nicht. Ich hab vorhin aus lauter ungeduld alles gelöscht. der kram da unten kam aber einfach wieder. irgendwie extrem hartnäckig. HILFFEEEE!!!!

Logfile of HijackThis v1.98.2
Scan saved at 22:09:00, on 24.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System\MSMSGSVC.exe
D:\Programme\Spyware Doctor\spydoctor.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Dokumente und Einstellungen\D. Harald Alke\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINDOWS\System\MSMSGSVC.exe
O4 - HKCU\..\Run: [Spyware Doctor] "D:\Programme\Spyware Doctor\spydoctor.exe" /Q
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe

Lidius · 24.11.2004, 22:13

Versteh ich das richtig das du einmal komplett alles gefixt hast?

BAMBI · 24.11.2004, 22:18

jap. welche foldegn hat das?

Cidre · 24.11.2004, 22:23

Zitat:

Ich hab vorhin aus lauter ungeduld alles gelöscht.

Warum macht man sowas?!

Zitat:

C:\Dokumente und Einstellungen\D. Harald Alke\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

Wenn du das hijackthis1982.zip nicht temporär entpackt und der HijackThis.exe einen extra Ordner spendiert hättest, dann könnte man das Fixen wieder rückgängig machen.

Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben, lösche danach die erkannte Malware manuell und poste die Virus Log Information von eScan AntiVirus.

BAMBI · 24.11.2004, 22:28

Zitat:

Zitat von Cidre

Warum macht man sowas?!

weil man doof ist. naja. was hab ich denn jetzt zerstört? wenn man das so abschätzen kann... kann man den schaden beheben. programme neu installieren etc... danke danke danke!!!

Cidre · 24.11.2004, 22:40

Zitat:

kann man den schaden beheben.

Ja, das kann man.
Führe zuerst wie beschrieben eScan aus und dann sehen wir weiter.

BAMBI · 24.11.2004, 22:48

ich hab alles gauso gemacht. ich hab auch die infizierten dateien vor mir. aber ich kann die doch nicht einfach komplett löschen.....

Cidre · 24.11.2004, 22:52

Bist du dir sicher, dass du eScan im abgesicherten Modus angewandt hast?!
Ich denke nicht!
Wie gross ist deine Festplatte, etwa 1 GB?

BAMBI · 24.11.2004, 23:00

hi. ich probiers gleich nochmal. und geb bescheid. danke...!

BAMBI · 24.11.2004, 23:35

ja also es ist wohl so wie unten beschrieben. 3 trojaner/viren sind in meinem windows ordner in kleinen dateien versteckt. unter anderem logpad.com usw.

soll ich diese dateien komplett killen?

Lidius · 24.11.2004, 23:42

nennen uns erstmal die Namen der Viren (und auch die dateinamen)

BAMBI · 24.11.2004, 23:54

Orginal:
WINDOWS/System/MSMSGSVC.exe infected by "Trojan Dropper.Win32.Small.lx" Virus.
(die Meldung oben kommt irgendwie 2 mal ohne erkennbaren unterschied.
WINDOWS/System32/notepad.com infected by "Trojan Dropper.Win32.Small.lx" Virus.

Tausend Dank!

Passat2002 · 24.11.2004, 23:59

hi bambi

Zitat:

Spy Bot, Add Aware, CWS haben versagt :-(

das glaube ich nicht, da hast du eher versucht, dein system

Zitat:

C:\Dokumente und Einstellungen\D. Harald Alke\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

--> sollte so aussehen C:\Programme\HijackThis\HijackThis.exe

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

--> windows-update durchführen

24.11.2004, 22:52	#10
Cidre Administrator, a.D.	Spy Bot, Add Aware, CWS haben versagt :-( Bist du dir sicher, dass du eScan im abgesicherten Modus angewandt hast?! Ich denke nicht! Wie gross ist deine Festplatte, etwa 1 GB? __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

Spy Bot, Add Aware, CWS haben versagt :-(

Log-Analyse und Auswertung: Spy Bot, Add Aware, CWS haben versagt :-(