| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Immediate Help needed! ISRVS, Edmond.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
06.03.2005, 12:36
| #1 |
 |  Immediate Help needed! ISRVS, Edmond.exe Hallo an alle da draußen, so - nachdem ich vor ein paar Monaten ein starkes Trojaner-Problem hatte der meinen Rechner lahmlegte besorgte ich mir eine bessere Abwehr. Ich nutze neben den Windows-Standarddingen Kapersky und Zone Alarm Pro. Nun habe ich nach heutigen Kasperky-Scan einen neuen Trojaner entdeckt. Das Problem: er läßt sich nicht löschen: "...kann nicht gelöscht werden. Der Zugriff wurde verweigert"  Als ich das letzte mal meinen Computer reparieren lies - da ich selber von diesen Vorgängen absolut keine Ahnung habe - kostete mich dies einige hunderter... Also - könnt ihr mir so helfen? Folgende Infos: Datei sitzt unter Windows - Name: isrvs diese Daten enthält die Datei: icons desktop.exe edmond.exe ffisearch.exe isearch.xpi mfiltis.dll msdbhk.dll Isearch fährt bei jedem Start automatisch hoch - läßt sich auch bei "Software" nich löschen... Ergebenden Dank!  |
|
06.03.2005, 12:43
| #2 |
| |  Immediate Help needed! ISRVS, Edmond.exe Hallo Phil-Blader,
__________________poste bitte ein HJT logfile direktdownload anleitung mfG Sword PS: Das wollte ich immer schon mal machen ^^ |
|
06.03.2005, 12:50
| #3 |
| | Immediate Help needed! ISRVS, Edmond.exe ist das ok so?
__________________Logfile of HijackThis v1.99.1 Scan saved at 12:48:47, on 06.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\ZoneLabs\minilog.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe C:\WINDOWS\SOINTGR.EXE C:\PROGRA~1\MI948F~1\GAMECO~1\Common\SWTrayV4.exe C:\WINDOWS\system32\EP3STA.EXE C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Zone Labs\ZoneAlarm\zapro.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\DOKUME~1\PHILIP~1\LOKALE~1\Temp\Rar$EX01.546\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file) O1 - Hosts: 127.0.0.0 localhost O1 - Hosts: 127.0.0.0 localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll (file missing) O3 - Toolbar: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MI948F~1\GAMECO~1\Common\SWTrayV4.exe O4 - HKLM\..\Run: [EP3STA.EXE] EP3STA.EXE O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\RunOnce: [Desktop Search Removal Tool] "C:\WINDOWS\inst\kill.exe" /VERYSILENT /NOCANCEL /NORESTART /SP- O4 - HKLM\..\RunOnce: [Bonus Sites Removal Tool] "C:\WINDOWS\inst\kill.exe" /VERYSILENT /NOCANCEL /NORESTART /SP- O4 - HKLM\..\RunOnce: [iSearch Toolbar Removal Tool] "C:\WINDOWS\inst\kill.exe" /VERYSILENT /NOCANCEL /NORESTART /SP- O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTS...etaStream3.cab O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - http://toolbar.isearch.com/general/drm.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/036093cec7c7a3c...dxIE601_de.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{202D30A9-9CDF-437B-B19E-AD82BCD39DD2}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{727CC897-7051-4485-86F1-CE4E79354586}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{202D30A9-9CDF-437B-B19E-AD82BCD39DD2}: NameServer = 192.168.0.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{202D30A9-9CDF-437B-B19E-AD82BCD39DD2}: NameServer = 192.168.0.1 O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file) O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: TrueVector Basic Logging Client (minilog) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\minilog.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
06.03.2005, 12:57
| #4 |
| | Immediate Help needed! ISRVS, Edmond.exe falsches Thema, mist  ähm ja, jetzt warte am besten auf einen Profi der dir hilft aber die hier finde ich mal sehr verdächtig. Sagt dir diese .exe etwas? O4 - HKLM\..\Run: [EP3STA.EXE] EP3STA.EXE |
|
06.03.2005, 13:03
| #5 |
| | Immediate Help needed! ISRVS, Edmond.exe Ok - vielen Dank erstmal... jetzt hoffe ich daß einem solchen Profi mein Thread ins Auge fällt Wie ich im abgesicherten Modus umgehe weiß ich bislang nicht. Erfordert eine Eingabe während des Hochfahrens, richtig? nein- diese exe sagt mir leider nichts   |
|
06.03.2005, 13:09
| #6 |
| | Immediate Help needed! ISRVS, Edmond.exe Das kann ich dir ja einstweilen schonmal erklären. Start - Ausführen - msconfig in die Textzeile schreiben - Enter - Die Kartei BOOT.INI anwählen - einen Haken bei /SAFEBOOT machen - Neu Starten Das machst du wenn ein "Profi" die Log begutachtet hat, ich habe zwar ein paar Vermutungen schon was du löschen solltest nur bin NOCH zu unerfahren um sie sicher löschen zu lassen. Mal sehen ob sich meine Vermutungen bestätigen Außerdem solltest du bevor du Einträge löschst auch die Systemwiederherstellung deaktivieren. gehe wie folgt vor:+ Rechtsklick Arbeitsplatz - Eigenschaften - Systemwiederherstellung - Systemwiederherstellung deaktivieren den Haken setzen Dies solltest du nach dem löschen der Einträge wieder rückgängig machen. Wenn du den Abgesicherten Modus beenden willst dann mach im Abgesicherten Modus die selben Schritte bis: BOOT.INI Kartei anwählen und nimm den Haken bei /SAFEBOOT wieder weg! mfG |
|
06.03.2005, 13:11
| #7 |
| Administrator, a.D.   | Immediate Help needed! ISRVS, Edmond.exe Hallo @Phil-Blader, fixe zunächst mal diese Einträge im abgesicherten Modus : O1 - Hosts: 127.0.0.0 localhost O1 - Hosts: 127.0.0.0 localhost O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll (file missing) O3 - Toolbar: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file) O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file) Lösche, wenn noch vorhanden, diesen Ordner: C:\WINDOWS\isrvs Führe sicherheitshalber auch noch dies aus und poste dann nochmal ein aktuelles HJT Log-File: Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben. Poste anschliessend die Virus Log Information von eScan AntiVirus: Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. |
|
| Themen zu Immediate Help needed! ISRVS, Edmond.exe |
| ahnung, alarm, automatisch, bessere, computer, daten, entdeck, enthält, gelöscht, gen, helfen, help, heutige, infos, keine ahnung, löschen, neue, neuen, nicht löschen, nutze, rechner, reparieren, software, start, verweigert, zone, zone alarm, zugriff |
Hybrid-Darstellung
