|
Plagegeister aller Art und deren Bekämpfung: TR\Drop.180Solut.AWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
12.01.2005, 11:09 | #1 |
| TR\Drop.180Solut.A hallo zusammen! hab mir den oben genannten trojaner eingefangen. antivir erkennt und blockt ihn. wenn ich ihn damit nun lösche ist er kurze zeit später wieder da. also steckt da wohl was in der registry nehm ich an. hab mal gegoogelt und hier so durchgeschaut aber irgendwie nichts passendes gefunden. mit diesem HJT kenne ich mich leider überhaupt nicht aus. wäre super nett wenn mir mal jemand eine für laien verständliche version posten könnte. schon mal danke im vorraus. euer board ist wirklich klasse! |
12.01.2005, 11:31 | #2 |
| TR\Drop.180Solut.A Hallo rtfm,
__________________es gibt schon einige Threads zum Thema 180 Solutions. Aber bitte, erstelle ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html. Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch HijackThis. Wir schauen dann, ob und wie wir Dir helfen können. |
12.01.2005, 11:47 | #3 |
| TR\Drop.180Solut.A danke erstmal für die schnelle hilfe. wegen den sex-seiten einträgen darf ich mich wohl bei meinem neffen bedanken.hier nun das hjt-logfile:
__________________Logfile of HijackThis v1.99.0 Scan saved at 11:40:50, on 12.01.2005 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe D:\AntiVir\AVGUARD.EXE D:\AntiVir\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\SYSTEM32\GEARSEC.EXE C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\ZoneLabs\minilog.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe D:\DSL Treiber\cFos5.04\cfos\cFosDNT.exe D:\Winamp\Winampa.exe D:\Logitech\iTouch\iTouch.exe C:\Program Files\Windows ServeAd\WinServAd.exe D:\AntiVir\AVGNT.EXE C:\Program Files\Windows ServeAd\WinServSuit.exe D:\FreeRAM\FreeRAM XP Pro 1.40.exe C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe C:\HJT\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=96676 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=96676 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com O1 - Hosts: 127.0.0.3 x.full-tgp.net O1 - Hosts: 127.0.0.3 counter.sexmaniack.com O1 - Hosts: 127.0.0.3 autoescrowpay.com O1 - Hosts: 127.0.0.3 www.autoescrowpay.com O1 - Hosts: 127.0.0.3 www.awmdabest.com O1 - Hosts: 127.0.0.3 www.sexfiles.nu O1 - Hosts: 127.0.0.3 awmdabest.com O1 - Hosts: 127.0.0.3 sexfiles.nu O1 - Hosts: 127.0.0.3 allforadult.com O1 - Hosts: 127.0.0.3 www.allforadult.com O1 - Hosts: 127.0.0.3 www.iframe.biz O1 - Hosts: 127.0.0.3 iframe.biz O1 - Hosts: 127.0.0.3 www.newiframe.biz O1 - Hosts: 127.0.0.3 newiframe.biz O1 - Hosts: 127.0.0.3 www.vesbiz.biz O1 - Hosts: 127.0.0.3 vesbiz.biz O1 - Hosts: 127.0.0.3 www.pizdato.biz O1 - Hosts: 127.0.0.3 pizdato.biz O1 - Hosts: 127.0.0.3 www.aaasexypics.com O1 - Hosts: 127.0.0.3 aaasexypics.com O1 - Hosts: 127.0.0.3 www.virgin-tgp.net O1 - Hosts: 127.0.0.3 virgin-tgp.net O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINNT\System32\IETie.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [QuickTime Task] "D:\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [OnSig] F:\eMule\OnlineSig\online.exe O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot O4 - HKLM\..\Run: [cFosDNT] D:\DSL Treiber\cFos5.04\cfos\cFosDNT.exe O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\TrojanerCheck\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [zBrowser Launcher] D:\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [AVGCtrl] D:\AntiVir\AVGNT.EXE /min O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe O4 - HKCU\..\Run: [windll32.exe] C:\WINNT\system32\windll32.exe O4 - HKCU\..\Run: [FreeRAM XP] "D:\FreeRAM\FreeRAM XP Pro 1.40.exe" -win O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O8 - Extra context menu item: &Download with &DAP - D:\DAP5~1.3\dapextie.htm O8 - Extra context menu item: Download &all with DAP - D:\DAP5~1.3\dapextie2.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/ O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://hitcounter.ath.cx/loud.chm::/bridge-c18.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\AntiVir\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\AntiVir\AVWUPSRV.EXE O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing) O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\SYSTEM32\GEARSEC.EXE O23 - Service: TrueVector Basic Logging Client - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\minilog.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe O23 - Service: O&O Defrag 2000 - O&O Software GmbH - C:\WINNT\system32\OOD2000.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe |
12.01.2005, 12:19 | #4 |
| TR\Drop.180Solut.A @ rtfm es kann sein, dass Du den W32/Spybot.worm.gen.b auf dem System hast. Erstelle zunächst einen neuen Ordner "bases" auf der Festplatte C: (c:\bases). Lade den eScan runter und beachte die Anleitung in diesem Link sehr genau. Update den eScan online und führe ihn offline im abgesicherten Modus aus. Der eScan ab Version 4.5.1 löscht gefundene Malware nicht. Teile uns das Ergebnis des eScan mit: öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) und gib dies mit an: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: ***** Scanning complete. ***** |
12.01.2005, 17:19 | #5 |
| TR\Drop.180Solut.A also hier die scanergebnisse die mich sehr erschüttern: Wed Jan 12 14:16:33 2005 => Total Files Scanned: 33736 Wed Jan 12 14:16:33 2005 => Total Virus(es) Found: 28 Wed Jan 12 14:16:33 2005 => Total Disinfected Files: 0 Wed Jan 12 14:16:33 2005 => Total Files Renamed: 0 Wed Jan 12 14:16:34 2005 => Total Deleted Files: 0 Wed Jan 12 14:16:34 2005 => Total Errors: 36 Wed Jan 12 14:16:34 2005 => Time Elapsed: 00:59:16 Wed Jan 12 14:16:34 2005 => Virus Database Date: 2005/01/12 Wed Jan 12 14:16:34 2005 => Virus Database Count: 115286 Wed Jan 12 14:16:34 2005 => Scan Completed. File C:\PROGRA~2\WINDOW~1\WINSER~2.EXE infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. File C:\WINNT\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken. File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\8XMBSHY7\loud[1].chm infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\GL2NSPUN\loud[1].chm infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\SHIVK12B\loud[1].chm infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. File C:\34FE0DA1.tmp.trojaner infected by "TrojanDownloader.Win32.Small.yx" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XMBSHY7\loud[1].chm infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GL2NSPUN\loud[1].chm infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SHIVK12B\loud[1].chm infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. File C:\HJT\hijackthis.log infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. File C:\Program Files\Win Comm\WinDat.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. File C:\Program Files\Windows ServeAd\WinAtServ.dll infected by "not-a-virus:AdWare.WinAD.i" Virus. Action Taken: No Action Taken. File C:\Program Files\Windows ServeAd\WinServSuit.exe infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. File C:\RECYCLER\S-1-5-21-515967899-2147031159-725345543-500\Dc1\NCASEPACKAGE.EXE.001 infected by "Trojan-Dropper.Win32.180Solutions.a" Virus. Action Taken: No Action Taken. File C:\RECYCLER\S-1-5-21-515967899-2147031159-725345543-500\Dc1\NCASEPACKAGE.EXE.002 infected by "Trojan-Dropper.Win32.180Solutions.a" Virus. Action Taken: No Action Taken. File C:\RECYCLER\S-1-5-21-515967899-2147031159-725345543-500\Dc1\NCASEPACKAGE.EXE.003 infected by "Trojan-Dropper.Win32.180Solutions.a" Virus. Action Taken: No Action Taken. File C:\RECYCLER\S-1-5-21-515967899-2147031159-725345543-500\Dc1\NCASEPACKAGE.EXE.VIR infected by "Trojan-Dropper.Win32.180Solutions.a" Virus. Action Taken: No Action Taken. File C:\WINNT\Downloaded Program Files\load.exe infected by "TrojanDownloader.Win32.Harnig.ak" Virus. Action Taken: No Action Taken. File C:\WINNT\Downloaded Program Files\WinServAdX.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. File C:\WINNT\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\drivers\etc\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken. File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\<Dateiname entfernt>.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken. File D:\AntiVir\INFECTED\NCASEPACKAGE.EXE.VIR infected by "Trojan-Dropper.Win32.180Solutions.a" Virus. Action Taken: No Action Taken. File D:\<Dateiname entfernt>.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken. File D:\<Dateiname entfernt>.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. File E:\<Dateiname entfernt>.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken. ich hoffe damit kann man was anfangen! vielen dank im voraus für eure mühe! |
12.01.2005, 18:12 | #6 |
| TR\Drop.180Solut.A @rtfm Temporary Internet Files Leere diese Ordner: C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temp C:\WINDOWS\Downloaded Program Files C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temporary Internet Files du kannst auch cleanprog bei cleanprog.de downloaden programm starten, alle häkchen bei windows und IE setzen, löschen diese datei auf diskette sichern, zwecks beweismittel File D:\<Dateiname entfernt>.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. diese dateien nicht löschen File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\<Dateiname entfernt>.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken. File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File E:\<Dateiname entfernt>.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken. wechsle danach in den abgesicherten modus und lösche die andere dateien manuell, neu booten und ein neues HJT logfile hier posten chaosman
__________________ --> TR\Drop.180Solut.A |
12.01.2005, 18:16 | #7 |
| TR\Drop.180Solut.A @ rtfm ich freue mich, dass ich ausnahmsweise einmal keine Hiobsbotschaft überbringen muss. Der schlimmste Virus, den Du auf Deinem Rechner hast, ist zum Glück nur ein Trojaner, ohne Backdoor-Funktionalität: Troj/Qhosts1-A. Lade das Clear Prog runter, leere damit u.a. die Ordner (Du kannst bei "Clear all" das Häkchen setzen und dann auf "Clear" klicken): File C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5 File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5 File C:\RECYCLER File D:\AntiVir\INFECTED --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre) diese Malware-Einträge bitte manuell löschen: --> Boote dazu in den VGA Modus. Dateien markieren/kopieren, in die Windows Suche übertragen -> löschen: C:\PROGRA~2\WINDOW~1\WINSER~2.EXE C:\WINNT\hosts C:\34FE0DA1.tmp.trojaner C:\HJT\hijackthis.log C:\Program Files\Win Comm\WinDat.dll C:\Program Files\Windows ServeAd\WinAtServ.dll C:\Program Files\Windows ServeAd\WinServSuit.exe C:\WINNT\Downloaded Program Files\load.exe C:\WINNT\Downloaded Program Files\WinServAdX.dll C:\WINNT\system32\drivers\etc\hosts Je nach Art der Verbindung, mit der Du ins Netz gehst, solltest Du diese Datei vor dem Löschen auf Diskette sichern (Dialer-Hinweis): D:\<Dateiname entfernt>.exe Nach dem löschen in den normalen Modus booten. Erstelle ein neues Hijack This Logfile und poste es. [edit] @ Chaosman [/edit] |
12.01.2005, 19:30 | #8 |
| TR\Drop.180Solut.A danke schön für die antworten. hier das logfile und noch ein paar kleiner sachen unten dran... : Logfile of HijackThis v1.99.0 Scan saved at 19:25:54, on 12.01.2005 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe D:\AntiVir\AVGUARD.EXE D:\AntiVir\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\SYSTEM32\GEARSEC.EXE C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\OOD2000.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\ZoneLabs\minilog.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe D:\DSL Treiber\cFos5.04\cfos\cFosDNT.exe D:\Winamp\Winampa.exe D:\TrojanerCheck\Trojancheck 6\tcguard.exe D:\Logitech\iTouch\iTouch.exe D:\AntiVir\AVGNT.EXE C:\Program Files\Windows ServeAd\WinServAd.exe D:\FreeRAM\FreeRAM XP Pro 1.40.exe C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe C:\WINNT\system32\NOTEPAD.EXE C:\HJT\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=96676 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=96676 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [QuickTime Task] "D:\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot O4 - HKLM\..\Run: [cFosDNT] D:\DSL Treiber\cFos5.04\cfos\cFosDNT.exe O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\TrojanerCheck\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [zBrowser Launcher] D:\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [AVGCtrl] D:\AntiVir\AVGNT.EXE /min O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe O4 - HKCU\..\Run: [FreeRAM XP] "D:\FreeRAM\FreeRAM XP Pro 1.40.exe" -win O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O8 - Extra context menu item: &Download with &DAP - D:\DAP5~1.3\dapextie.htm O8 - Extra context menu item: Download &all with DAP - D:\DAP5~1.3\dapextie2.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/ O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://hitcounter.ath.cx/loud.chm::/bridge-c18.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\AntiVir\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\AntiVir\AVWUPSRV.EXE O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing) O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\SYSTEM32\GEARSEC.EXE O23 - Service: TrueVector Basic Logging Client - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\minilog.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe O23 - Service: O&O Defrag 2000 - O&O Software GmbH - C:\WINNT\system32\OOD2000.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe -------------- in C:\Program Files befindet sich noch ein ordner mit namen "Windows ServeAd" dieser enthält noch eine "info.txt" und eine "WinServAd.exe" C:\WINNT\Downloaded Program Files\load.exe konnte ich nicht finden. nur diese 2 hier: C:\WINNT\system32\dllcache\mwcload.exe C:\WINNT\system32\Macromed\Shockwave 8\Download.exe C:\PROGRA~2\WINDOW~1\WINSER~2.EXE finde ich auch nirgends. bitte sagt mir wie ich den rest auch noch loswerde. vielen dank schonmal im vorraus! |
12.01.2005, 19:35 | #9 |
| TR\Drop.180Solut.A @rtfm in C:\Program Files befindet sich noch ein ordner mit namen "Windows ServeAd" dieser enthält noch eine "info.txt" und eine "WinServAd.exe" in abgesicherten modus manuell löschen Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK danach noch mal die dateien suchen chaosman
__________________ Bonus vir semper tiro |
12.01.2005, 19:42 | #10 |
| TR\Drop.180Solut.A Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK hab ich getan. er fand es trotzdem nicht! also ich weiss wo der ordner liegt. die frage ist nur ob ich ihn auch löschen soll/muß? was ist mit den anderen unten aufgeführten dateien? sieht das logfile nun zufriedenstellender aus? |
12.01.2005, 19:50 | #11 |
| TR\Drop.180Solut.A @rtfm wechsle in den abgesicherten modus und fixe mit HJT R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=96676 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=96676 O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe O8 - Extra context menu item: &Download with &DAP - D:\DAP5~1.3\dapextie.htm O8 - Extra context menu item: Download &all with DAP - D:\DAP5~1.3\dapextie2.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing) diese dateien manuell löschen C:\Program Files\Windows ServeAd\WinServAd.exe D:\DAP5~1.3\dapextie2.htm D:\DAP5~1.3\dapextie.htm der DAP download manager löschen, er holt dir spyware auf dem rechner nimm lieber den LeechGet C:\Program Files\Windows ServeAd\WinServAd.exe komplette ordner neu booten, poste danach ein neues HJT logfile chaosman
__________________ Bonus vir semper tiro |
12.01.2005, 20:53 | #12 |
| TR\Drop.180Solut.A so, hier ist nun mein aktuelles HJT-logfile: Logfile of HijackThis v1.99.0 Scan saved at 20:49:51, on 12.01.2005 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe D:\AntiVir\AVGUARD.EXE D:\AntiVir\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\SYSTEM32\GEARSEC.EXE C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\OOD2000.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\ZoneLabs\minilog.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe D:\DSL Treiber\cFos5.04\cfos\cFosDNT.exe D:\Winamp\Winampa.exe D:\TrojanerCheck\Trojancheck 6\tcguard.exe D:\Logitech\iTouch\iTouch.exe D:\AntiVir\AVGNT.EXE D:\FreeRAM\FreeRAM XP Pro 1.40.exe C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe C:\HJT\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [QuickTime Task] "D:\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot O4 - HKLM\..\Run: [cFosDNT] D:\DSL Treiber\cFos5.04\cfos\cFosDNT.exe O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\TrojanerCheck\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [zBrowser Launcher] D:\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [AVGCtrl] D:\AntiVir\AVGNT.EXE /min O4 - HKCU\..\Run: [FreeRAM XP] "D:\FreeRAM\FreeRAM XP Pro 1.40.exe" -win O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/ O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://hitcounter.ath.cx/loud.chm::/bridge-c18.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\AntiVir\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\AntiVir\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\SYSTEM32\GEARSEC.EXE O23 - Service: TrueVector Basic Logging Client - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\minilog.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe O23 - Service: O&O Defrag 2000 - O&O Software GmbH - C:\WINNT\system32\OOD2000.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe |
12.01.2005, 21:36 | #13 | |
| TR\Drop.180Solut.AZitat:
|
12.01.2005, 21:37 | #14 |
TR\Drop.180Solut.A ich denke da kann ich dir weiterhelfen. es ist nicht der ordner progra~2 (nur abgekürzt) sondern program files. und da ist dann lass mich raten ein ordner namens windowsservead oder? den musst du löschen. |
12.01.2005, 21:41 | #15 |
| TR\Drop.180Solut.A ok, wenn es der war dann hab ich den gelöscht im abgesicherten modus bleibt nur die frage nach dem aktuellen hjt-log |
Themen zu TR\Drop.180Solut.A |
antivir, block, blockt, board, danke, drop., erkenn, erkennt, gefunde, hallo zusammen, klasse, kurze, laien, nichts, poste, posten, registry, steckt, super, troja, trojaner, version, verständliche, wirklich, überhaupt, zusammen |