|
Plagegeister aller Art und deren Bekämpfung: bw2.exe und dann gings losWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
12.01.2005, 13:13 | #1 |
| bw2.exe und dann gings los habe am 10.01. um 01.19 eine Website besucht und mich dort wohl infiziert. Jedenfalls entdeckte ich neben einigen anderen Besonderheiten bw2.exe mit diesem Datum und Uhrzeit. Alle Versuche in der Zwischenzeit die Plage wieder loszuwerden schlugen leider fehl. Kurze Zeit nach dem Einwählen werden Downloads gestartet, nach Browserstart werden Seiten aufgerufen (überwiegend blödsinnige Inhalte), meinen IE habe ich wohl so deformiert, dass der jetzt überhaupt nicht mehr online will (bleibt offline auch bei Eingabe "guter" Adressen). Was kann ich tun? |
12.01.2005, 13:34 | #2 |
| bw2.exe und dann gings los @ gn8
__________________mit welchem Browser bist Du denn hier? Welches Betriebssystem hast Du? Aber erstelle erstmal ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html. Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch HijackThis. |
12.01.2005, 13:42 | #3 | ||
| bw2.exe und dann gings losZitat:
Zitat:
Logfile of HijackThis v1.99.0 Scan saved at 13:35:36, on 12.01.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AntiVirenKit\AVKService.exe C:\Programme\AntiVirenKit\AVKWCtl.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\PGPserv.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\rundll32.exe C:\WINNT\Explorer.EXE C:\PROGRA~1\HPCD-W~1\DirectCD\directcd.exe C:\Programme\HP CD-Writer\Mmenu\hpcdtray.exe C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe C:\WINNT\system32\internat.exe C:\WINNT\system32\RUNDLL32.EXE C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\PGP Corporation\PGP for Windows 2000\PGPtray.exe C:\Programme\Hardcopy\hardcopy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bagh.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bagh.de/ O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\HPCD-W~1\DirectCD\directcd.exe O4 - HKLM\..\Run: [HP CD-Writer] C:\Programme\HP CD-Writer\Mmenu\hpcdtray.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [AdobeVersionCue] C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: PGPtray.lnk = C:\Programme\PGP Corporation\PGP for Windows 2000\PGPtray.exe O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{AD7C8A54-D3BB-4B5F-B514-69FE7C82A4A2}: NameServer = 217.237.151.33 217.237.149.225 O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Programme\Adobe\Adobe Version Cue\service\VersionCue.exe O23 - Service: AVK Service - Unknown - C:\Programme\AntiVirenKit\AVKService.exe O23 - Service: AVK Wächter - Unknown - C:\Programme\AntiVirenKit\AVKWCtl.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: PGPserv - PGP Corporation - C:\WINNT\system32\PGPserv.exe Herzlichen entnervten Gruß, Wolf |
12.01.2005, 14:10 | #5 | |
| bw2.exe und dann gings losZitat:
Gruß, Wolf |
12.01.2005, 14:40 | #6 |
| bw2.exe und dann gings los @ gn8 kannst Du bitte sicherheitshalber den eScan - laut Anleitung im Link - durchführen? Der eScan muss in einem neuen Ordner "bases" auf C:\ laufen. Poste dann das Ergebnis, also die Namen der Viren und deren Anzahl .. wie folgt: öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) und gib dies mit an: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: ***** Scanning complete. ***** |
12.01.2005, 15:42 | #7 |
| bw2.exe und dann gings los Wed Jan 12 15:05:54 2005 => File C:\WINNT\system32\lsp.dll infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken. Wed Jan 12 15:06:46 2005 => File C:\WINNT\system32\dknmpntw.dll infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: No Action Taken. Wed Jan 12 15:07:11 2005 => File C:\WINNT\system32\lsp.dll infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken. Wed Jan 12 15:07:11 2005 => File C:\WINNT\system32\ltghours.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Jan 12 15:07:12 2005 => File C:\WINNT\system32\m8640ijqe8oe0.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Jan 12 15:08:04 2005 => File C:\WINNT\system32\wrcsapi.dll infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: No Action Taken. Wed Jan 12 15:08:05 2005 => File C:\WINNT\system32\wxaueng.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Jan 12 15:20:53 2005 => File C:\WINNT\system32\lsp.dll infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken. Wed Jan 12 15:21:45 2005 => File C:\WINNT\system32\dknmpntw.dll infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: No Action Taken. Wed Jan 12 15:22:14 2005 => File C:\WINNT\system32\lsp.dll infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken. Wed Jan 12 15:22:14 2005 => File C:\WINNT\system32\ltghours.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Jan 12 15:22:15 2005 => File C:\WINNT\system32\m8640ijqe8oe0.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Jan 12 15:22:58 2005 => File C:\WINNT\system32\sabcsp.dll infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: No Action Taken. Wed Jan 12 15:23:17 2005 => File C:\WINNT\system32\wrcsapi.dll infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: No Action Taken. Wed Jan 12 15:23:18 2005 => File C:\WINNT\system32\wxaueng.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Jan 12 15:24:17 2005 => File C:\DOKUME~1\WOLF-D~1\LOKALE~1\TEMPOR~1\Content.IE5\21X63U5O\AppWrap[1].exe infected by "not-a-virus:AdWare.Zestyfind" Virus. Action Taken: No Action Taken. Wed Jan 12 15:24:18 2005 => ***** Scanning complete. ***** Wed Jan 12 15:24:18 2005 => Total Files Scanned: 3963 Wed Jan 12 15:24:18 2005 => Total Virus(es) Found: 9 |
12.01.2005, 15:43 | #8 | |
| bw2.exe und dann gings losZitat:
|
12.01.2005, 15:55 | #9 |
| bw2.exe und dann gings los Das sieht nach dem aus, was verschiedene Suchmaschinen zu bw2.exe sagen: Syware/Adware. Hast du schonmal Adaware oder Spybot probiert?
__________________ Sagamore |
12.01.2005, 15:59 | #10 |
| bw2.exe und dann gings los und nun noch die Links zu Sagamore's Tipp ;-) --> hier findest Du die Entfernungstools von Spyware und Adware 'Ad-Aware 6 Personal' und 'Spybot-Search & Destroy 1.3'. |
12.01.2005, 23:54 | #11 | |
| bw2.exe und dann gings losZitat:
Jedoch: das Papierkorbsymbol zeigt "gefüllt". Beim Öffnen jedoch keine Dateien. Beim "Leeren" werde ich nach dem Wunsch 2 Dateien zu löschen gefragt. Trotz Bestätigung bleiben die wohl drin, denn sofortige Neuleerung bringt wieder die gleiche Frage. Anscheinend sind 2 Dateien im Papierkorb, die die Wiederherstellung der Pest bewirken, die sich weder ansehen noch löschen lassen. Der MSIE geht auf und zeigt mir die unerwünschtesten Seiten, selbst Firefox läd in weiteren Tabs mal diese und mal jene Seite. Hat jemand dazu eine Idee? |
13.01.2005, 18:52 | #12 |
| bw2.exe und dann gings los @ gn8 ==> boote in den abgesicherten Modus und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken): O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch wenn Du diese Einträge nicht kennst/brauchst, bitte fixen: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.bagh.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.bagh.de/ O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll boote in den normalen Modus. ==> sende bitte diese Datei passwortgeschützt (mit Angabe des Passworts in der Mail) an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread. Diese Mail-Adresse gehört *Christian*, einem Boardmitglied, der unbekannte Dateien einer Prüfung unterziehen kann. Ich würde gerne erfahren, ob es sich um Malware handelt: C:\WINNT\system32\PGPserv.exe ==> Erstelle ein neues Hijack This Logfile und poste es. |
13.01.2005, 21:42 | #13 | |||
| bw2.exe und dann gings losZitat:
Zitat:
Zitat:
Gerade einen neuen Scan gemacht mit folgenden Ergebnissen (gekürzt um die überflüssigen Angaben, dafür aber diesmal komplett): Thu Jan 13 17:02:07 2005 Version 4.8.1 (C:\DOKUME~1\WOLF-D~1\LOKALE~1\Temp\mwavscan.com) Latest Date of files inside MWAV: 12 Jan 2005 07:00:52. Virus Database Date: 2005/01/12 Virus Database Count: 115286 not-a-virus:AdWare.Look2Me.u not-a-virus:AdWare.Sahat.f not-a-virus:AdWare.Zestyfind I-Worm.Klez.h I-Worm.Bagle.gen I-Worm.NetSky.c I-Worm.Bagle.at I-Worm.Mydoom.g I-Worm.Klez.e I-Worm.BadtransII I-Worm.Tanatos.a I-Worm.NetSky.b Thu Jan 13 20:35:56 2005 ***** Scanning complete. ***** Total Files Scanned: 218605 Total Virus(es) Found: 50 Total Errors: 9 Time Elapsed: 03:32:58 Virus Database Date: 2005/01/12 Virus Database Count: 115286 Danke für die Unterstützung, Wolf |
13.01.2005, 22:18 | #14 | |
| bw2.exe und dann gings los @ gn8 Zitat:
.. auch wenn Du meinst, dass es unnütze Arbeit ist. |
14.01.2005, 00:27 | #15 | |
| bw2.exe und dann gings losZitat:
Die Viren machen mir in den Mailarchiven keine Probleme, lese nur im Textmodus und öffne Anhänge nicht. Sie sind teilweise auch schon sehr lange an den Stellen. Es geht um die Adware, die ich einfach nicht los werde: der Papierkorb bleibt optisch gefüllt, ich kann ihn nicht leeren und nicht sehen was drin ist. Soll ich PGPServe.exe noch verschicken? Thu Jan 13 17:02:07 2005 Version 4.8.1 (C:\DOKUME~1\WOLF-D~1\LOKALE~1\Temp\mwavscan.com) Latest Date of files inside MWAV: 12 Jan 2005 07:00:52. Virus Database Date: 2005/01/12 Virus Database Count: 115286 Thu Jan 13 17:07:55 2005 C:\WINNT\system32\fjamebuf.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. C:\WINNT\system32\iOsperf.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. C:\WINNT\system32\ltghours.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. C:\WINNT\system32\m8640ijqe8oe0.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. C:\WINNT\system32\obeprn.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. C:\WINNT\system32\wxaueng.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. C:\WINNT\system32\wxcsapi.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. C:\DOKUME~1\WOLF-D~1\LOKALE~1\Temp\temp.fr2EE3 infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken. C:\DOKUME~1\WOLF-D~1\LOKALE~1\TEMPOR~1\Content.IE5\21X63U5O\AppWrap[1].exe infected by "not-a-virus:AdWare.Zestyfind" Virus. Action Taken: No Action Taken. C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\Andrea Trenner\erledigt\MESSAGES.TBB infected by "I-Worm.Klez.h" Virus. Action Taken: No Action Taken. C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_behindertenrat\Sent\MESSAGES.TBB infected by "I-Worm.Klez.e" Virus. Action Taken: No Action Taken. C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_behindertenrat\Trash\MESSAGES.TBB infected by "I-Worm.Bagle.at" Virus. Action Taken: No Action Taken. C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\erledigt\MESSAGES.TBB infected by "I-Worm.BadtransII" Virus. Action Taken: No Action Taken. C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\kunden\kobinet\MESSAGES.TBB infected by "I-Worm.Tanatos.a" Virus. Action Taken: No Action Taken. C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\kunden\lebenshilfe\MESSAGES.TBB infected by "I-Worm.Klez.h" Virus. Action Taken: No Action Taken. C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\mailadmin\MESSAGES.TBB infected by "I-Worm.NetSky.b" Virus. Action Taken: No Action Taken. C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Anwendungsdaten\The Bat!\wm_sho\Sent\MESSAGES.TBB infected by "I-Worm.Klez.h" Virus. Action Taken: No Action Taken. C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Lokale Einstellungen\Temp\temp.fr2EE3 infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken. C:\Dokumente und Einstellungen\Wolf-Dietrich Trenne\Lokale Einstellungen\Temporary Internet Files\Content.IE5\21X63U5O\AppWrap[1].exe infected by "not-a-virus:AdWare.Zestyfind" Virus. Action Taken: No Action Taken. C:\WINNT\system32\fjamebuf.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. C:\WINNT\system32\iOsperf.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. C:\WINNT\system32\ltghours.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. C:\WINNT\system32\m8640ijqe8oe0.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. C:\WINNT\system32\obeprn.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. C:\WINNT\system32\wxaueng.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. C:\WINNT\system32\wxcsapi.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Thu Jan 13 20:35:56 2005 ***** Scanning complete. ***** Total Files Scanned: 218605 Total Virus(es) Found: 50 Total Errors: 9 Time Elapsed: 03:32:58 Virus Database Date: 2005/01/12 Virus Database Count: 115286 |
Themen zu bw2.exe und dann gings los |
.exe, adresse, adressen, andere, anderen, besuch, besucht, datum, downloads, eingabe, einwählen, entdeck, gestartet, guter, infiziert., inhalte, kurze, loszuwerden, nicht mehr, offline, online, seite, seiten, versuche, website, wähle, überhaupt |