| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: bi.cab, belt.cab & co. - gefahrloses Löschen?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
27.11.2004, 00:19
| #1 |
| |  bi.cab, belt.cab & co. - gefahrloses Löschen? Hi Leute, ich hatte am letzten Wochenende so ein richtig schönen Vireneinfall im PC. Habe mit Spybot, Antivir u. Spydoctor schon einiges wieder aufgeräumt, aber ein paar "Fehlfunktionen" sind geblieben. Zum einen startet mein Mediaplayer "Classic" nicht mehr und zum anderen hat sich die Startseite xysearch.biz eingenistet. In diesem zusammenhang interessiert es mich, wie sich das mit den cab-Archiven verhält. Antivir XP hat nämlich im Protokoll folgendes aufgelistet (Auszug): C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp bi.cab ArchiveType: CAB (Microsoft) --> bi.inf --> bi.dll [FUND!] Ist das Trojanische Pferd TR/BiSpy.DLL.B bi.inf … Belt.cab ArchiveType: CAB (Microsoft) --> Belt.inf --> Belt.exe [FUND!] Ist das Trojanische Pferd TR/Stubby --> Belt.ini Belt.inf C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\THI44F5.tmp twaintec.cab ArchiveType: CAB (Microsoft) --> twaintec.inf --> twaintec.dll [FUND!] Ist das Trojanische Pferd TR/Krepper.C --> preInsTT.exe [FUND!] Enthält Signatur des PMS/Dldr.Krepper.1-Programmes twaintec.inf C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\THI3B83.tmp twaintec.cab ArchiveType: CAB (Microsoft) --> twaintec.inf twaintec.inf C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0388M0Q9 ................ 0006_cracks[1].cab ArchiveType: CAB (Microsoft) --> ISTactivex.dll [FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.gen --> ISTactivex.inf Da Antivir die befallenen Archive nicht löscht, überlege ich, ob ich dies per Hand mache, da ich glaube, dass die entsprechenden Viren (od. was das auch immer für Plagegeister sind) von dort immer wieder aktiv werden. Allerdings traue ich mich nicht so richtig, da ich nicht weiß, ob windows diese Archive braucht. Kann mir jemand mal was zu den Funden, deren Auswirkungen und zu den cab - Archiven etwas sagen??? Ach ja, mein BS W2k prof. SP4, Browser IE 6 Sp1 Schon mal ein Danke an alle, die mir eventuell helfen. Gruß Spocky EDIT: Hi nochmal, im Zusammenhang mit den unerwünschten Startseiten wird immer nach dem log von HijackThis gefragt. Habe mal das Proggy laufen lassen. Hier die Logdatei: Logfile of HijackThis v1.98.2 Scan saved at 10:53:09, on 27.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\PackethSvc.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINNT\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\wanmpsvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\atiptaxx.exe C:\Programme\Trust\Ami Mouse Optical\TAMOMOUS.exe C:\Programme\Pinnacle\Studio PCTV\Remote\Remoterm.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Netpumper\NetPumper\NetPumperIEProxy.exe C:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\NCLAUNCH.EXe C:\Programme\PrintKey2000\Printkey2000.exe D:\Neuer Ordner (2)\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG F2 - REG:system.ini: UserInit=Userinit.exe,TGBRFV_ O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [Ami Mouse Optical] C:\Programme\Trust\Ami Mouse Optical\TAMOMOUS.exe O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\Studio PCTV\Remote\Remoterm.exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NetPumper] "C:\Netpumper\NetPumper\NetPumperIEProxy.exe" O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [zSPGuard] c:\programme\pjw\spguard\spguard.exe /s /r O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [NCLaunch] C:\WINNT\NCLAUNCH.EXe O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Download with NetPumper - C:\Netpumper\NetPumper\AddUrl.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/ O15 - Trusted Zone: http://*.63.219.181.7 O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} - O16 - DPF: {FE1A240F-B247-4E06-A600-30E28F5AF3A0} - O17 - HKLM\System\CCS\Services\Tcpip\..\{9916AE38-4A62-4154-8436-2E5BCF9CB429}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{E8492B15-E2D2-4D36-B021-909B9F0B153E}: NameServer = 192.168.122.252,192.168.122.253 O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - (no file) O20 - AppInit_DLLs: C:\WINNT\system32\wdmdm.dll Hoffe, dass jemand erkennt, wo der Eintrag ist, der immer die lästige Startseite aufruft. Danke u. einen schönen Tag noch Gruß Spocky Geändert von Spocky (27.11.2004 um 12:07 Uhr) |
| Themen zu bi.cab, belt.cab & co. - gefahrloses Löschen? |
| administrator, antivir, appinit_dlls, bho, browser, content.ie5, danke, dateien, download, dsl, einstellungen, explorer, hijack, hijackthis, icq, immer wieder, internet, internet explorer, log, löschen, löschen?, microsoft, ordner, seiten, software, studio, sun java, system, system32, tcpip, update, userinit.exe, windows, yahoo |
Baum-Darstellung