,

ich bin wohl zu alt und zu langsam.


@Karel Gott

bitte befolge *Christiian*s Bitte.

dartus

Fri Feb 25 19:25:02 2005 => File C:\WINDOWS\htpatch.exe.bak tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Fri Feb 25 19:25:05 2005 => File C:\WINDOWS\wnwki.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken.

Fri Feb 25 19:25:56 2005 => File C:\WINDOWS\System32\vlzmq.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken.

Fri Feb 25 19:27:14 2005 => File C:\Programme\hijackThis\backups\backup-20050113-040054-494.dll tagged as not-a-virus:AdWare.BHO.SearchAssistant.c. No Action Taken.

Fri Feb 25 19:28:04 2005 => File C:\Treiber\SIS 648\agp113\agp113\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Fri Feb 25 19:29:55 2005 => File C:\WINDOWS\htpatch.exe.bak tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Fri Feb 25 19:34:42 2005 => File C:\WINDOWS\system32\vlzmq.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken.

Fri Feb 25 19:34:56 2005 => File C:\WINDOWS\wnwki.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken.

Sat Feb 26 01:08:52 2005 => File C:\WINDOWS\htpatch.exe.bak tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Sat Feb 26 01:13:03 2005 => File C:\WINDOWS\htpatch.exe.bak tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Sat Feb 26 01:13:10 2005 => File C:\WINDOWS\wnwki.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken.

Sat Feb 26 01:14:10 2005 => File C:\WINDOWS\System32\lnfrd.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken.

Sat Feb 26 01:15:09 2005 => File C:\WINDOWS\System32\vlzmq.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken.

Sat Feb 26 01:17:10 2005 => File C:\Programme\hijackThis\backups\backup-20050113-040054-494.dll tagged as not-a-virus:AdWare.BHO.SearchAssistant.c. No Action Taken.

Sat Feb 26 01:18:30 2005 => File C:\Treiber\SIS 648\agp113\agp113\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Sat Feb 26 01:21:22 2005 => File C:\WINDOWS\htpatch.exe.bak tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Sat Feb 26 01:27:57 2005 => File C:\WINDOWS\system32\lnfrd.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken.

Sat Feb 26 01:29:21 2005 => File C:\WINDOWS\system32\vlzmq.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken.

Sat Feb 26 01:29:49 2005 => File C:\WINDOWS\wnwki.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken.

Fri Feb 25 19:27:54 2005 => File C:\RECYCLER\S-1-5-21-1801674531-1500820517-725345543-1003\Dc1.hta infected by "Trojan-Dropper.VBS.Inor.cj" Virus. Action Taken: File Deleted.

Fri Feb 25 19:26:41 2005 => File C:\ntdetect.hta infected by "Trojan-Dropper.VBS.Inor.cj" Virus. Action Taken: File Deleted.

Fri Feb 25 19:26:32 2005 => File C:\Dokumente und Einstellungen\Tomy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WJBZ2SPP\msits[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

Fri Feb 25 19:26:20 2005 => File C:\Dokumente und Einstellungen\Tomy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\F753FXOW\archive[1].jar infected by "Trojan.Java.ClassLoader.z" Virus. Action Taken: File Deleted.

soweit die escans.

die 3 filez kann ich leider nicht auf malwareupload.com raufladen. die dateien würden nicht den kriterien entspechen...warum auch immer - es geht leider net.

KG

ps: escan hat alle 3 nicht gelöscht, sind nach wie vor auf dem rechner.

Hmm? Die Dateien entsprechen nicht den Kritierien? Sind sie über 2 MB groß?
Sende mir bitte die Dateien an partytime-germany.ice@web.de .

Danke schonmal.

Christian

Die Dateien sind auf malwareupload.com angekommen.

Die Rückmeldung für ordnungsgemässe Uploads wird verbessert.

MfG
Marc

thx marchjt für die rückmeldung &
thx christian für das angebot, dir die dateien zu schicken.


zwischenzeitlich alle 3 filez durch markhjt gecheckt: alle 3 malware.´
(juhuu, ich hab gaaaanz neue malware, die av-software noch nicht kennt )

versuche also alle 3 zu löschen.

was muß ich noch tun ?

KG.

ps: netcf32.exe sorgt in unregelm abständen für ein popup das aussieht wie eine windows-systemmeldung von der xp2-firewall mit auswahlfeldern ja/nein zum anklicken... sieht genau aus wie echt.

Hallo,

ich rate Dir dazu:

http://www.trojaner-board.de/showthread.php?t=12154

dartus

die ganzen r0,r1 und r3 einträge bekomme ich nicht endgültig gelöscht. auch das netcf32.exe wird von hjt zwar gefixt, ist nach neustart aber wieder da.

soll ich die 3 unten genannten filez einfach von hand löschen ??


ein aktuelles log:

Logfile of HijackThis v1.98.2
Scan saved at 22:48:52, on 26.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\d3im32.exe
C:\Programme\RedLine\Taskbar.exe
C:\Programme\Mouseware\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\netcf32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\hijackThis\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qmxrh.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qmxrh.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\qmxrh.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qmxrh.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qmxrh.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\qmxrh.dll/sp.html#10001
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\qmxrh.dll/sp.html#10001
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {84726F98-05BE-A8F9-2D6E-FA2D7F559343} - C:\WINDOWS\ippt.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [RedLine Taskbar] C:\Programme\RedLine\Taskbar.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [netcf32.exe] C:\WINDOWS\netcf32.exe
O4 - HKLM\..\RunOnce: [d3im32.exe] C:\WINDOWS\d3im32.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Calibration\Adobe Gamma Loader.exe
O15 - Trusted Zone: http://download.windowsupdate.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100267738562
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAE715F8-F9F2-4E76-BBBB-C0A724BA989D}: NameServer = 10.212.67.1