Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
DR/180Solutions

DR/180Solutions


Log-Analyse und Auswertung: DR/180Solutions

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 08.01.2005, 19:30   #1
hajo49ste
 
DR/180Solutions - Standard

DR/180Solutions


Hallo zusammen,

ich habe mir den Dropper DR/180Solutions eingefangen und würde ihn gerne wieder los werden. Dazu brauche ich die Experten unter euch.
Wer kann mir helfen?

Der Logfile von HijackThis sieht wie folgt aus:
------------------------------------------
Logfile of HijackThis v1.99.0
Scan saved at 17:46:34, on 08.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\PROGRA~1\LAPLIN~1\TSIINET.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\TSIRCSRV.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\TSI32\tsircusr.exe
C:\WINNT\Explorer.EXE
C:\Programme\Ahead\InCD\InCD.exe
D:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINNT\system32\cdplayer.exe
C:\programme\search-assistant\saap.exe
C:\WINNT\system32\wuauclt.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
D:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe
D:\Programme\Starfish\TrueSync\tstool.exe
D:\Software\WINZIP\deWINZIP81\WZQKPICK.EXE
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\DownLoads\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\TSI32\tsircusr.exe
O2 - BHO: MySearch Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MySearch\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINNT\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [0190 Warner] D:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RecSche] "C:\Programme\TVR\RecSche.exe"
O4 - HKLM\..\Run: [WinDVRCtrl] C:\WINNT\WDVRCtrl.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\W
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [DeluxeCD] C:\WINNT\system32\cdplayer.exe -tray
O4 - HKLM\..\Run: [saap] c:\programme\search-assistant\saap.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [HBRemind] C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
O4 - HKCU\..\Run: [YAW starten] "D:\Programme\YAW 3.5\yawguard.exe"
O4 - Startup: Wichtige Termine.pif = D:\Eigene~1\TERMINE\TERMINER.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microtek Scanner Finder.lnk = D:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: TrueSync Starter.lnk = D:\Programme\Starfish\TrueSync\tstool.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Software\WINZIP\deWINZIP81\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InCD Helper - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: TSI LinkToNet Service - LapLink.com, Inc. - C:\PROGRA~1\LAPLIN~1\TSIINET.EXE
O23 - Service: TSI Remote Control Service - LapLink.com, Inc. - C:\WINNT\System32\TSIRCSRV.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Alt 08.01.2005, 20:04   #2
cacatoa
 
DR/180Solutions - Standard

DR/180Solutions


Hallo, hajo,
Lade Dir als erste mal Spybot S&D 1.3 runter, mache ein update und lasse es laufen. Lasse es alles entfernen, was es findet. Danach gehst Du auf den Button "wiederherstellen" und löschst den Quarantäneordner.
Berichte, wss gefunden wurde.
Du hast Malware drauf; u.a. New.Net.
Da dieses Zeugs Deine winsocks zerstören kann und Spybot es nicht imer schafft, diese zu reparieren, lade Dir auch noch LSPFix runter und starte es.
Ziehe die New.Net Einträge nach rechts und clicke auf remove.

Dann bitte im abgesicherten Modus mit HijackThis folgende Einträge fixen (nach dem scan unten auf "fix checked" clicken"):
C:\programme\search-assistant\saap.exe
O2 - BHO: MySearch Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MySearch\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [saap] c:\programme\search-assistant\saap.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

Dann bitte folgende Dateien manuell löschen:
C:\programme\search-assistant\saap.exe
C:\Programme\MySearch\SrchAstt\1.bin\MYSRCHAS.DLL
C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
C:\Programme\NewDotNet\newdotnet6_38.dll
C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

Dann normal booten.

Weiter: Kennst du die folgenden:
C:\WINNT\TSI32\tsircusr.exe
C:\WINNT\system32\cdplayer.exe
D:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\W
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - Startup: Wichtige Termine.pif = D:\Eigene~1\TERMINE\TERMINER.EXE
O4 - HKLM\..\Run: [DeluxeCD] C:\WINNT\system32\cdplayer.exe -tray
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.ex e
O4 - Global Startup: Microtek Scanner Finder.lnk = D:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe
O23 - Service: TSI LinkToNet Service - LapLink.com, Inc. - C:\PROGRA~1\LAPLIN~1\TSIINET.EXE

Bitte die Fragen beantworten und nach dem "Fixen" ein neues HJT-Logfile posten.
cacatoa
__________________

__________________
Alt 11.01.2005, 20:35   #3
hajo49ste
 
DR/180Solutions - Standard

DR/180Solutions


Hallo cacatoa,

vielen Dank für deine Mühe und deine klaren Anweisungen.
Ich habe alles durchgeführt. Spybot S&D hat eine ganze menge Zeug heraus-
gefiltert und beseitigt. Ich weis jetzt nicht, wie ich dir diese Information
zukommen lassen kann, da ich über diesen Scan kein Protokoll finde. Weißt
du, ob Spybot S&D ein Protokoll ablegt?

Wie kann ich mich zukünftig vor solchen Spionenbefall schützen?
Es ist schon bedrückend eine Maschine zubesitzen, die man nur teilweise
unter Kontrolle hat. Welche Chance habe ich das zu ändern?

Die folgenden Programme kenne ich nicht:
C:\WINNT\TSI32\tsircusr.exe
C:\WINNT\system32\cdplayer.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\W
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [DeluxeCD] C:\WINNT\system32\cdplayer.exe -tray
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O23 - Service: TSI LinkToNet Service - LapLink.com, Inc. - C:\PROGRA~1\LAPLIN~1\TSIINET.EXE


Der aktuelle HJT-Logfile sieht wie folgt aus:
----------------------------------------
Logfile of HijackThis v1.99.0
Scan saved at 19:15:35, on 11.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Ahead\InCD\InCD.exe
D:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINNT\system32\cdplayer.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
D:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe
D:\Programme\Starfish\TrueSync\tstool.exe
D:\Software\WINZIP\deWINZIP81\WZQKPICK.EXE
C:\PROGRA~1\ULTRAE~1\uedit32.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\DownLoads\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINNT\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [0190 Warner] D:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RecSche] "C:\Programme\TVR\RecSche.exe"
O4 - HKLM\..\Run: [WinDVRCtrl] C:\WINNT\WDVRCtrl.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\W
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [DeluxeCD] C:\WINNT\system32\cdplayer.exe -tray
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [HBRemind] C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
O4 - HKCU\..\Run: [YAW starten] "D:\Programme\YAW 3.5\yawguard.exe"
O4 - Startup: Wichtige Termine.pif = D:\Eigene~1\TERMINE\TERMINER.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microtek Scanner Finder.lnk = D:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: TrueSync Starter.lnk = D:\Programme\Starfish\TrueSync\tstool.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Software\WINZIP\deWINZIP81\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InCD Helper - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: TSI LinkToNet Service - LapLink.com, Inc. - C:\PROGRA~1\LAPLIN~1\TSIINET.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
__________________
Alt 11.01.2005, 21:22   #4
cacatoa
 
DR/180Solutions - Standard

DR/180Solutions


Hallo, hajo,
das hab ich lange nicht mehr gesehen; Du hast einen echten Virus drauf (keinen Trojaner), und zwar diesen.
Mache jetzt folgendes:
Erstelle einen Ordner C:\bases.
Lade dir diesen escan (mwav.exe) runter, entpacke die Datei in den Ordner C:\bases, update (kavupd.exe).
Starte den Rechner neu im abgescherten Modus und lasse escan laufen (mwavscan). Kreuze an "scan all local drives".
Scan dauert ca. 1 Std. Danach neu booten (normal). Dann berichten was er gefunden hat (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.). Diese Version entfernt die Malware.
Mit den Ergebnissen von escan bitte auch neues Logfile posten.
Es kann trotz der Entfernung gut sein, daß Du Dein System neu aufsetzen mußt. Bereite dich seelisch darauf vor.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 13.02.2005, 16:43   #5
hajo49ste
 
DR/180Solutions - Standard

DR/180Solutions


Hallo cacatoa,

leider kann ich mich jetzt erst wieder melden,weil ich auf Dienstreise in Schweden war.
Ich habe die mwav.exe heruntergeladen und mit doppelklick gestartet.
Das Programm entpackt sich selbstständig in den Unterordner \temp.
Ich kann also c:\bases gar nicht angeben. Nach dem entpacken meldet sich
AntiVir mit der Meldung, dass es einen Trojaner im Ordner ..\temp gefunden
hat. Daraufhin habe ich alles wieder heruntergelöscht.
Was ist da los???
hajo.


Das aktuelle HijackThis-Protokoll sieht wie folgt aus:
Logfile of HijackThis v1.99.0
Scan saved at 16:08:18, on 13.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINNT\system32\cdplayer.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
D:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe
D:\Programme\Starfish\TrueSync\tstool.exe
D:\Software\WINZIP\deWINZIP81\WZQKPICK.EXE
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\DownLoads\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINNT\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RecSche] "C:\Programme\TVR\RecSche.exe"
O4 - HKLM\..\Run: [WinDVRCtrl] C:\WINNT\WDVRCtrl.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\W
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [DeluxeCD] C:\WINNT\system32\cdplayer.exe -tray
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [0190 Warner] D:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [HBRemind] C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
O4 - HKCU\..\Run: [YAW starten] "D:\Programme\YAW 3.5\yawguard.exe"
O4 - Startup: Wichtige Termine.pif = D:\Eigene~1\TERMINE\TERMINER.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microtek Scanner Finder.lnk = D:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: TrueSync Starter.lnk = D:\Programme\Starfish\TrueSync\tstool.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Software\WINZIP\deWINZIP81\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InCD Helper - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe


Alt 13.02.2005, 21:55   #6
cacatoa
 
DR/180Solutions - Standard

DR/180Solutions


Hi, hajo49ste,
Ganz einfach: Ordner C:\bases erstellen. Die mwav.exe runterladen und nicht doppelclicken, sondern in den Ordner C:\bases entpacken. Dann updaten (kavupd) und dann scannen (mwavscan) Ankreuzen: Scan all local drives und scan all files.
Fertig.
cacatoa
__________________
--> DR/180Solutions

Alt 19.02.2005, 21:35   #7
hajo49ste
 
DR/180Solutions - Standard

DR/180Solutions


Hallo cacatoa,

ich habe eScan noch einmal ohne doppelklick entpackt und das update durchgeführt.
Beim Ausführen von mwavscan.com meldete sich das Programm mit "internal error! Please send
a log file to support@mwti.net".
Dann habe ich wieder alles gelöscht und mwav.exe noch von http://www.mwti.net/antivirus/free_utilities.asp
heruntergeladen und installiert. Diesmal hat es geklappt. Das Ergebnis siehe unten.

Ich habe die infected files alle weggelöscht. Reicht das aus?

MfG
hajo

Sat Feb 19 12:32:38 2005 => **********************************************************
Sat Feb 19 12:32:38 2005 => eScan AntiVirus Toolkit Utility.
Sat Feb 19 12:32:38 2005 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Sat Feb 19 12:32:38 2005 =>
Sat Feb 19 12:32:38 2005 => Support: support@mwti.net
Sat Feb 19 12:32:38 2005 => Web: http://www.mwti.net
Sat Feb 19 12:32:38 2005 => **********************************************************
Sat Feb 19 12:32:38 2005 => Version 4.8.8 (C:\bases\mwavscan.com)
Sat Feb 19 12:32:38 2005 => Log File: C:\bases\MWAV.LOG
Sat Feb 19 12:32:38 2005 => Windows Root Folder: C:\WINNT
Sat Feb 19 12:32:38 2005 => Windows Sys32 Folder: C:\WINNT\system32
Sat Feb 19 12:32:38 2005 => OS: Windows NT
Sat Feb 19 12:32:38 2005 => Latest Date of files inside MWAV: 19 Feb 2005 11:49:30.

Sat Feb 19 12:32:38 2005 => Options Selected by User:
Sat Feb 19 12:32:38 2005 => Memory Check: Enabled
Sat Feb 19 12:32:38 2005 => Registry Check: Enabled
Sat Feb 19 12:32:38 2005 => StartUp Folder Check: Enabled
Sat Feb 19 12:32:38 2005 => System Folder Check: Enabled
Sat Feb 19 12:32:38 2005 => System Area Check: Disabled
Sat Feb 19 12:32:38 2005 => Services Check: Enabled
Sat Feb 19 12:32:38 2005 => Drive Check: Disabled
Sat Feb 19 12:32:38 2005 => All Drive Check :Enabled
Sat Feb 19 12:32:38 2005 => Folder Check: Disabled

Infected files:
--------------
Sat Feb 19 12:39:18 2005 => File C:\WINNT\NDNuninstall4_85.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Sat Feb 19 12:56:53 2005 => File C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\DownLoads\HijackThis\backups\backup-20050109-230252-141.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Sat Feb 19 13:32:43 2005 => File C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE infected by "not-a-virus:AdWare.Toolbar.MyWay.b" Virus. Action Taken: No Action Taken.
Sat Feb 19 13:32:43 2005 => File C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL infected by "not-a-virus:AdWare.ToolBar.MyWay.f" Virus. Action Taken: No Action Taken.
Sat Feb 19 13:50:42 2005 => File C:\WINNT\NDNuninstall4_85.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
Sat Feb 19 14:22:26 2005 => File D:\Software\laplink\Win32\LLFTP\LLFTPr1.exe infected by "not-a-virus:AdWare.TimeSink.c" Virus. Action Taken: No Action Taken.

Alt 20.02.2005, 10:31   #8
cacatoa
 
DR/180Solutions - Standard

DR/180Solutions


So, dann poste noch ein neues HJT-Logfile zu rkOntrolle.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 20.02.2005, 12:14   #9
hajo49ste
 
DR/180Solutions - Standard

DR/180Solutions


Hallo cacatoa,

hier das aktuelle HJT-Log-File:

Logfile of HijackThis v1.99.0
Scan saved at 12:09:36, on 20.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINNT\system32\cdplayer.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
D:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe
D:\Programme\Starfish\TrueSync\tstool.exe
D:\Software\WINZIP\deWINZIP81\WZQKPICK.EXE
C:\PROGRA~1\ULTRAE~1\uedit32.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Programme\Adobe\Acrobat 5.0\Acrobat\Acrobat.exe
C:\Programme\Gemeinsame Dateien\Adobe\Web\AOM.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\DownLoads\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINNT\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [DeluxeCD] C:\WINNT\system32\cdplayer.exe -tray
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [HBRemind] C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
O4 - Startup: Wichtige Termine.pif = D:\Eigene~1\TERMINE\TERMINER.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microtek Scanner Finder.lnk = D:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: TrueSync Starter.lnk = D:\Programme\Starfish\TrueSync\tstool.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Software\WINZIP\deWINZIP81\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InCD Helper - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Alt 20.02.2005, 18:20   #10
cacatoa
 
DR/180Solutions - Standard

DR/180Solutions


Hi,
Du solltest jetzt eigentlich keine Probs mehr haben.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 26.02.2005, 15:05   #11
hajo49ste
 
DR/180Solutions - Standard

DR/180Solutions


Hallo cacatoa,

vielen Dank für deine Unterstützung bei der Beseitigung der vielen Ungeziefer.

Was kann oder muss ich tun, um künftige Angriffe und Infizierungen zu vermeiden?

Der Aufwand war ja ziemlich groß das Zeug wieder los zu werden und eigentlich
wollte ich mit dem Rechner nur so meine Alltagsaufgaben erledigen und nicht
die meiste Zeit mit der Ungeziefersuche und -beseitigung verbringen.
Ich kann den Nutzen solcher Attacken nicht erkennen. Worin besteht er?

hajo
PS: 95% aller Computerprobleme liegen zwischen Tastatur und Stuhl.

Alt 27.02.2005, 10:41   #12
cacatoa
 
DR/180Solutions - Standard

DR/180Solutions


Hallo, hjao49ste,
Was kannst du tun?
Lies mal das hier. Und paß einfach beim surfen ein bißchen auf...
Nimm einen anständigen Browser, leere regelmäßig Deine "temp" files mit clearprog und update Dein System ständig.
Das ist zwar keine 100%ige Sicherheit, aber es hilft.
Grüße
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Antwort

Themen zu DR/180Solutions
.inf, administrator, adobe, antivir, antivir update, bho, cyberlink, dateien, dll, drivers, einstellungen, excel, explorer, ftp, google, helfen, hijack, hijackthis, internet, internet explorer, logfile, microsoft, mysearch, programme, realplayer, registry, remote control, rundll, software, solution, starten, system, t-online, userinit.exe, windows


« svchost.exe | Was muß ich löschen? Bitte um Hilfe!!! (Logfile) »


Ähnliche Themen: DR/180Solutions


  1. Dropper DR/180Solutions - mal wieder !!!!
    Log-Analyse und Auswertung - 27.10.2005 (1)
  2. Dialer - 180solutions.SearchAssistant
    Plagegeister aller Art und deren Bekämpfung - 06.07.2005 (1)
  3. Trojaner DR/180Solutions.B
    Plagegeister aller Art und deren Bekämpfung - 06.06.2005 (6)
  4. Brauche Hilfe bei 180Solutions
    Log-Analyse und Auswertung - 31.03.2005 (3)
  5. Trojaner durch 180Solutions
    Log-Analyse und Auswertung - 30.03.2005 (10)
  6. HILFE!! dropper DR/180Solutions
    Log-Analyse und Auswertung - 13.03.2005 (2)
  7. HILFE!!DR/180Solutions bzw. PMS/180Solutions.A
    Log-Analyse und Auswertung - 27.02.2005 (1)
  8. DR/180Solutions
    Plagegeister aller Art und deren Bekämpfung - 24.01.2005 (5)
  9. DR/180solutions
    Log-Analyse und Auswertung - 15.01.2005 (7)
  10. DR/180Solutions
    Plagegeister aller Art und deren Bekämpfung - 08.01.2005 (1)
  11. DR/180Solutions
    Plagegeister aller Art und deren Bekämpfung - 02.01.2005 (14)
  12. DR/180solutions !!!HILFE!!!
    Plagegeister aller Art und deren Bekämpfung - 01.12.2004 (5)
  13. dr/180solutions dropper please help me...
    Plagegeister aller Art und deren Bekämpfung - 18.11.2004 (3)
  14. dr/180solutions please help me...
    Log-Analyse und Auswertung - 17.11.2004 (3)
  15. Dropper DR/180Solutions
    Log-Analyse und Auswertung - 16.11.2004 (5)
  16. Hilfe! DR 180Solutions
    Plagegeister aller Art und deren Bekämpfung - 06.11.2004 (1)
  17. 180solutions, net.com etc. entfernt ?
    Log-Analyse und Auswertung - 25.10.2004 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema DR/180Solutions - Hallo zusammen, ich habe mir den Dropper DR/180Solutions eingefangen und würde ihn gerne wieder los werden. Dazu brauche ich die Experten unter euch. Wer kann mir helfen? Der Logfile von - DR/180Solutions...
Archiv
Du betrachtest: DR/180Solutions auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131