Erstmal ein Hallöchen ,

Ja, ich war im urlaub , Meine freundin hatte Meinen Laptop , Nun ,Was passiert? - Jede/r kann sich vorstellen was jetzt passiert , ja , Mein Laptop ist mit Viren Voll . Ich habe Folgende sachen drüber laufen lassen , Ad-aware - Spyware-Doctor , Spyware - Destroy , SpySubtract, Pest Patrol.

Ja, Es sind Wirklich Viele, viele viren haben ich bereits entfernt Leider ( S. Hijacklog*) die 01 - Die Tauchen immer auf , Auch Die BhO´s.

Hier Bitte das Hijacklog:


Logfile of HijackThis v1.99.0
Scan saved at 18:40:43, on 26.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\System32\r_server.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\carpserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\DOKUME~1\NOTEBO~1\LOKALE~1\Temp\SQZ4C.tmp\HijackThis.exe

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {18E789AB-C9C7-C1CA-2763-C95CD121BB5B} - (no file)
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: (no name) - {D9F75A71-C448-3BD9-8C94-7241EFE2EDBF} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D86F3BE8-6EA8-4AD7-B685-BCEC87B3A459}: NameServer = 192.168.0.1
O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Remote Administrator Service - Unknown - C:\WINDOWS\System32\r_server.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\Smc.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe



Ich Wäre euch Sehr dankbar für Jede Hilfreiche Tipps , Ich kann meinen Onlinerollenspiel nicht weiter führen dank diesen Viren , Ich wäre erfreut über eine Prompte hilfreiche antwort.

Dank!


Mit Freundlichen Grüßen

Darcson Alias Leo

ahja ich sehe da O15-einträge..
die bekommste so weg
fixe außerdem diese einträge:
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {18E789AB-C9C7-C1CA-2763-C95CD121BB5B} - (no file)
O2 - BHO: (no name) - {D9F75A71-C448-3BD9-8C94-7241EFE2EDBF} - (no file)

trotzdem führe noch dass aus:
lade dir escan runter und gehe genau nach dieser anleitung vor
gehe wieder in den normalen modus, öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen, gebe infected ein, suche weiter,markiere die treffer und kopiere sie ins forum

@Darcson
eine freundin hatte Meinen Laptop , Nun ,Was passiert? - Jede/r kann sich vorstellen was jetzt passiert , ja , Mein Laptop ist mit Viren Voll .

es war meistens die freundin, der opa üsw

Ja, Es sind Wirklich Viele, viele viren haben ich bereits entfernt Leider ( S. Hijacklog*) die 01 - Die Tauchen immer auf , Auch Die BhO´s.

welche Viren würde wo von welchem Antivirenprogramm gefunden?

update dein system und IE
lade dir escan
download
anleitung
chaosman

Erstmal Hallo,

E-scan läuft noch nebenbei ( 50 minuten schon ) ich habe mal das getan was Chris sagte ich habe bestimmte welche übersehen oder doppelt ich habe sie gespeichert , Bitte , Schaut es euch an und ich BRAUCHE DRINGEND hilfe , wirklich:

Hier das von E-Scan

Thu Jan 27 18:01:02 2005 => File C:\WINDOWS\d8.exe infected by "Trojan-Downloader.Win32.Small.ahx" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:01:16 2005 => File C:\WINDOWS\System32\CISVC32.EXE infected by "not-a-virus:AdWare.BHO.NoName.b" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:01:21 2005 => File C:\WINDOWS\System32\cp.exe infected by "Trojan-Downloader.Win32.Agent.ic" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:01:50 2005 => File C:\WINDOWS\System32\jimkrram.exe infected by "Trojan-Proxy.Win32.Agent.l" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:02:05 2005 => File C:\WINDOWS\System32\MS13.exe infected by "not-a-virus:AdWare.ToolBar.404Search.a" Virus. Action Taken: No Action Taken
Thu Jan 27 18:02:23 2005 => File C:\WINDOWS\System32\ougszohc.exe infected by "Trojan-Proxy.Win32.Agent.l" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:02:23 2005 => File C:\WINDOWS\System32\p2esocks_1031.dll infected by "Trojan.Win32.P2E.as" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:02:54 2005 => File C:\WINDOWS\System32\ulfqyhwk.exe infected by "Trojan-Proxy.Win32.Agent.l" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:02:59 2005 => File C:\WINDOWS\System32\VT04.exe infected by "TrojanDownloader.Win32.Small.vl" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:03:12 2005 => File C:\DOKUME~1\NOTEBO~1\LOKALE~1\Temp\DrTemp\thnall2c.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:03:12 2005 => File C:\DOKUME~1\NOTEBO~1\LOKALE~1\Temp\DrTemp\thnall2c.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:03:13 2005 => File C:\DOKUME~1\NOTEBO~1\LOKALE~1\Temp\i3.tmp infected by "not-a-virus:AdWare.SurfSide.a" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:03:18 2005 => File C:\DOKUME~1\NOTEBO~1\LOKALE~1\Temp\SQZ4D.tmp\backups\backup-20050126-181940-208.dll infected by "Trojan.Win32.P2E.as" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:03:24 2005 => File C:\DOKUME~1\NOTEBO~1\LOKALE~1\Temp\THI5060.tmp\Ceres.dll infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:03:24 2005 => File C:\DOKUME~1\NOTEBO~1\LOKALE~1\Temp\THI5060.tmp\csnopol.cab infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:03:25 2005 => File C:\DOKUME~1\NOTEBO~1\LOKALE~1\Temp\THI5E68.tmp\Ceres.dll infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:03:25 2005 => File C:\DOKUME~1\NOTEBO~1\LOKALE~1\Temp\THI5E68.tmp\Ceres.dll infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:03:25 2005 => File C:\DOKUME~1\NOTEBO~1\LOKALE~1\Temp\THI5E68.tmp\csnopol.cab infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:03:25 2005 => File C:\DOKUME~1\NOTEBO~1\LOKALE~1\Temp\THI5E68.tmp\Ceres.dll infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:03:24 2005 => File C:\DOKUME~1\NOTEBO~1\LOKALE~1\Temp\THI5060.tmp\csnopol.cab infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:04:18 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\Ceres.dll.q_2CF5_q infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:04:19 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\jskihsey.exe.q_8043001_q infected by "Trojan.Win32.Agent.ay" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:04:19 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\jskihsey.exe.q_8043001_q infected by "Trojan.Win32.Agent.ay" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:04:20 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\jskihsey.exe.q_8043001_q.old infected by "Trojan.Win32.Agent.ay" Virus. Action Taken: No Action Taken
Thu Jan 27 18:05:05 2005 => File C:\Dokumente und Einstellungen\NotebookBenutzer\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\Dummy.class-4ae9b430-32fd809f.class infected by "Trojan.Java.ClassLoader.Dummy.d" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:05:05 2005 => File C:\Dokumente und Einstellungen\NotebookBenutzer\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\Dummy.class-51d3f209-35d1c18e.class infected by "Trojan.Java.ClassLoader.Dummy.c" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:05:05 2005 => File C:\Dokumente und Einstellungen\NotebookBenutzer\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\Dummy.class-531c338a-6228990d.class infected by "Trojan.Java.ClassLoader.Dummy.c" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:05:05 2005 => File C:\Dokumente und Einstellungen\NotebookBenutzer\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\Dummy.class-690bea91-442318f3.class infected by "Trojan.Java.ClassLoader.Dummy.d" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:05:15 2005 => File C:\Dokumente und Einstellungen\NotebookBenutzer\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-1411bf44-54b3cd13.zip infected by "Trojan.Java.ClassLoader.z" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:05:15 2005 => File C:\Dokumente und Einstellungen\NotebookBenutzer\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-246797d4-75df9846.zip infected by "Exploit.Java.Bytverify" Virus. Action Taken: No Action Taken
Thu Jan 27 18:05:21 2005 => File C:\Dokumente und Einstellungen\NotebookBenutzer\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv147.jar-7ee77456-6385db9f.zip infected by "Trojan.Java.ClassLoader.h" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:05:21 2005 => File C:\Dokumente und Einstellungen\NotebookBenutzer\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv413.jar-18433e7e-6a323328.zip infected by "Trojan.Java.ClassLoader.h" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:05:21 2005 => File C:\Dokumente und Einstellungen\NotebookBenutzer\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv555.jar-54190b3d-637ea192.zip infected by "Trojan.Java.ClassLoader.h" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:06:15 2005 => File C:\Dokumente und Einstellungen\NotebookBenutzer\Desktop\Besonderer Ordner\sub7_1_9.zip infected by "Backdoor.SubSeven.19" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:07:33 2005 => File C:\Dokumente und Einstellungen\NotebookBenutzer\Lokale Einstellungen\Temp\DrTemp\thnall2c.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:07:33 2005 => File C:\Dokumente und Einstellungen\NotebookBenutzer\Lokale Einstellungen\Temp\i3.tmp infected by "not-a-virus:AdWare.SurfSide.a" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:07:37 2005 => File C:\Dokumente und Einstellungen\NotebookBenutzer\Lokale Einstellungen\Temp\SQZ4D.tmp\backups\backup-20050126-181940-208.dll infected by "Trojan.Win32.P2E.as" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:07:43 2005 => File C:\Dokumente und Einstellungen\NotebookBenutzer\Lokale Einstellungen\Temp\THI5060.tmp\Ceres.dll infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:07:43 2005 => File C:\Dokumente und Einstellungen\NotebookBenutzer\Lokale Einstellungen\Temp\THI5060.tmp\csnopol.cab infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken
Thu Jan 27 18:07:44 2005 => File C:\Dokumente und Einstellungen\NotebookBenutzer\Lokale Einstellungen\Temp\THI5E68.tmp\Ceres.dll infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
Thu Jan 27 18:07:44 2005 => File C:\Dokumente und Einstellungen\NotebookBenutzer\Lokale Einstellungen\Temp\THI5E68.tmp\csnopol.cab infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.

Das sind die endeckten viren.

MfG
Darcson

@ Darcson

Zitat:

File C:\Dokumente und Einstellungen\NotebookBenutzer\Desktop\Besonderer Ordner\sub7_1_9.zip infected by "Backdoor.SubSeven.19" Virus.

Hast du SubSeven bewusst runtergeladen?

So, E-Scan ist Fertisch schaut euch das ergebnis mal an ich brauche BITTE DIRNGEND HILFE!!!!!!!!!

Thu Jan 27 18:41:17 2005 => Total Files Scanned: 29170
Thu Jan 27 18:41:17 2005 => Total Virus(es) Found: 67
Thu Jan 27 18:41:17 2005 => Total Disinfected Files: 0
Thu Jan 27 18:41:17 2005 => Total Files Renamed: 0
Thu Jan 27 18:41:17 2005 => Total Deleted Files: 0
Thu Jan 27 18:41:17 2005 => Total Errors: 123
Thu Jan 27 18:41:17 2005 => Time Elapsed: 00:40:59
Thu Jan 27 18:41:17 2005 => Virus Database Date: 2005/01/27
Thu Jan 27 18:41:17 2005 => Virus Database Count: 116944

Thu Jan 27 18:41:17 2005 => Scan Completed.

Thu Jan 27 18:43:25 2005 => Virus Database Date: 2005/01/27
Thu Jan 27 18:43:25 2005 => Virus Database Count: 116944
Thu Jan 27 18:43:30 2005 => Generating Virus List... getvlist.exe C:\DOKUME~1\NOTEBO~1\LOKALE~1\Temp\vlist.txt

Hallo , Cidre

Nein , Das War net meine absicht . Ich weis auch net woher der sich reingeschliechen hat und was ist das denn?

Virus, Torjan? hackertool?

Zitat:

Zitat von Darcson

Hallo , Cidre

Nein , Das War net meine absicht . Ich weis auch net woher der sich reingeschliechen hat und was ist das denn?

Virus, Torjan? hackertool?

Backdoor und Hackertool gibt auch Trolle die den als Remote Administration Tool nutzen,da SS zu seiner "Zeit" aber zu den gefährlichsten gehörte,sollte der Rechner platt gemacht werden,der wurde da wohl bewusst installiert....

Lese hier nach http://www.pestpatrol.com/pestinfo/s/subseven.asp, http://www.bsi.bund.de/av/vb/subseven.htm und http://www.trojaner-info.de/archiv/sub7_19.html

Aufgrund dessen solltest du zur deiner eigenen Sicherheit dein System neu aufsetzen, da es nicht mehr vertrauenswürdig ist.
Eine Anleitung dazu, findest du in meiner Sig.

Ein Hallo , Aber in Trauriges Hallo

Ich habe jetzt net damit Gerechnet , das ich das System neu rebooten Muss d.h. neu Formatieren. Gibt es keine andere möglichkeit?

Zu Dir Herr Kautz ,

Pass mal BITTE Auf mit deinen Unterstellungen , Ja? das ich es bewusst runtergeladen haben .

1. Was ist Subseven'?
2. Ich habe nicht so viel Ahnung mit PC?
3. Warum Soll ich mit absicht einen TroJaner herunterladen? Sag es mir bitte.

Also ich bitte dich solche unterstellungen zu unterlassen , danke..

MfG

1.Du musst neu formatieren!

2.Danke für die nette Begrüssung,wo steht in meiner Antwort eine deartige Unterstellung?HALLO gehts noch?
WO steht da expliziet,das du das gemacht hast in meiner Antwort!

Was ist SubSeven?

Ein gefählicher Backdoor,Link von Cidre lesen,www.google.de verwenden,ok!?

Schönen Tach noch....

Sub7 ist ein Backdoor-Trojaner, der einem dritten Kontrolle über deinen PC ermöglicht.
Infos zu Sub7 hier:
http://www.sophos.de/virusinfo/analyses/trojsub719.html

//edit:
Auch meine Empfehlung lautet dein System neu aufzusetzen, und bevor du das erste mal Online gehst das SP 2 zu installieren.
Wenn du das erste mal wieder Online gehst würde ich dir zumindest empfehlen die Windows Firewall zu aktivieren.
Danach würde ich sämtliche Updates von der Windows Update Seite laden, sowie unnötige Dienste abschalten, ist unter http://www.ntsvcfg.de/ erläutert.

GreetZ Shady

SS ist ja in einem Archiv:

File C:\Dokumente und Einstellungen\NotebookBenutzer\Desktop\Besonderer Ordner\sub7_1_9.zip infected by "Backdoor.SubSeven.19" Virus.

das bedeutet für mich,dass er bewusst runtergeladen wurde,wo auch immer,aber wenn ich mir den escan anschau gehört das System so oder so neu aufgesetzt....


Gruss

Hallo, der scheint ja wirklich selbst gesogen zu sein, wer immer auch das gemacht hat?!
So, nun hast du, eigentlich, nicht nur den Server, sondern auch den Clienten.
Also, den Clienten aufrufen, dich selbst conecten und auf entfernen klicken und das war es.
Das andere Zeug, was du noch auf HD hast, dürfte etwas länger dauern.
LG,........

Hi, wo hast du denn das alte Teil her?
Habe Mühe gehabt, dass noch zu finden, also Port 1243 eingeben, danach IP 127.0.0.1, oder die LAN IP, zu sich selbst verbinden und löschen!
LG, Charlie