Hallo!

Ich bin neu hier und hab gleich ein Riesenanliegen..

Vorher muss ich noch sagen, dass ich compimäßig ne Null bin, also bitte idiotengerecht erklären....
Ich habe in anderen Beiträgen schon was von wegen Logfile gelesen, das sagt mir aber auch nix..

Also: zusätzlich zum IE Fenster öffnet sich oldgames.se oder irgendetwas mit "540..."
Ich habe McAfee, der findet aber nix, habe ich auch schon upgedatet, leider war das Ergebnis gleich Null...
Mit einem anderen Scan hab ich dann was auf System32 gefunden, kann diese Anwendung (oder was das ist) aber leider nicht löschen...

Kann mir vielleicht jemand helfen?

Falls das hilft: ich habe windows XP

Danke!!!

Liebe Grüsse
Sabine

Hi,

estelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

Hallo!

Danke für deine rasche und (vor allem) verständliche Antwort!

Hier also dieses Ding:

Logfile of HijackThis v1.99.1
Scan saved at 21:21:06, on 15.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\CACHEM~1\CachemanXP.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\program files\altnet\points manager\points manager.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\WINDOWS\System32\P2P Networking\P2P Networking2.exe
C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Nikon\NkView5\NkvMon.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\Network Associates\VirusScan\Webscanx.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\sabine\Lokale Einstellungen\Temp\HijackThis.exe

R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avserve.exe] C:\WINDOWS\avserve.exe
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [P2P Networking2] C:\WINDOWS\System32\P2P Networking\P2P Networking2.exe /AUTOSTART
O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [ErrorGuard] C:\Programme\ErrorGuard\ErrorGuard.Exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/07670eae...p/RdxIE601.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100015555538
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5FBE223-1105-454A-80EC-C4F9893907EC}: NameServer = 195.3.96.67 195.3.96.68
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - C:\PROGRA~1\CACHEM~1\CachemanXP.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McShield - Unknown owner - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Hoffe du kennst dich damit jetzt aus!

Danke

Sabine

@binal23
du hast einiges im system
als erstes system und IE updaten,
lass mal dein virenscanner in den abgesicherten modus laufen, der findet bestimmt was
dann escan downloaden
anleitung
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."


chaosman

erste Problem, Du bist offen wie ein Scheunentor Du solltest dein System unbedingt auf SP2 updaten

asl nächstes gehe auf die Seite und lade das Tool zum entfernen des Sasserwurm's
deinstalliere in Systeeistellungen -->Software (wenn vorhanden) folgende Programme:
C:\program files\altnet\points manager\points manager.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
C:\Programme\Kazaa\kazaa.exe

--> boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung
und fixe mit HJT folgende Einträge:

R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [ErrorGuard] C:\Programme\ErrorGuard\ErrorGuard.Exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll

lösche folgende Dateien von Hand:

C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
c:\program files\altnet\points manager\points manager.exe -s (falls noch vorhanden)
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe (falls noch vorhanden)
C:\Programme\Kazaa\kazaa.exe /SYSTRAY (falls noch vorhanden)
C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
C:\Programme\ErrorGuard\ErrorGuard.Exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe (falls noch vorhanden)
C:\WINDOWS\sp.exe
c:\eied_s7.cab
c:\ex.cab
C:\WINDOWS\System32\vbsys2.dll

neu booten neues HJT posten

PS. Garantien gibt es keine

@Gigamail

hast nichts übersehen?
O4 - HKLM\..\Run: [avserve.exe] C:\WINDOWS\avserve.exe Böse
Böse Added as a result of the SASSER VIRUS!
Trefferquote: 99 % (Resultate) Unbedingt fixen!
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe Böse
Böse Added as a result of the SASSER.B or SASSER.C VIRUSES!
Trefferquote: 99 % (Resultate) Unbedingt fixen!

deswegen escan, vielleicht steckt noch mehr im system

@binal23
bereite dich mal geistig auf das Neuaufsetzen vom system vor


chaosman

Zitat:

hast nichts übersehen?
O4 - HKLM\..\Run: [avserve.exe] C:\WINDOWS\avserve.exe Böse
Böse Added as a result of the SASSER VIRUS!

eigentlich wollte ich das mit dem Tool von Microsoft wegbringen siehe Link
vergessen wie kommst Du darauf

@Gigamail
hast recht, hatte ich übersehen

bin kein freund von removaltools.
habe lieber erst mal ein gute einblick was alles auf der HD angetroffen wird.
binal23 wird ein langes escan logfile haben.

für mich wird es jetzt zeit um aufhören, muss fruh raus

chaosman

Hi ihr beide!

Danke mal für die Tipps, ich werd das am Abend versuchen.

Nur ne Frage: es steht bei den zu löschenden Sachen auch Kazza dabei, aber wenn ich das lösche gehen ja meine heruntergeladenen Dateien verloren, oder?

Oder muss ich alle Lieder irgendwo anders sozusagen zwischenspeichern?
Oder zuerst auf CD brennen?

Merci & liebe Grüsse
Sabine

Hallo,

ich schieb mal, weiß vielleicht jemand Antwort?

Liebe Grüsse
Sabine

Hi,

bei dem Kazza hadelt es sich um folgendes:

Zitat:

Variant of the RapidBlaster parasite (in a "kazaa" folder in Program Files). It is not recommended you manually uninstall RapidBlaster but use RapidBlaster Killer - see here. Note - this is not the valid KaZaA file sharing program

Tool verwenden, alles fixen wie beschrieben, eScan laden wie Chaosman beschrieben hat, könnte am Ende trotzdem auf ein Neuaufsetzen rauslaufen?
Daten kannst Du trotzdem sichern

Hallo!

Also ich habe jetzt alles geschafft,

habe die Viren schon von 32 (!) auf 10 reduzieren können, was ich noch nicht weghabe sind ein W32small.fo und win32spooner.d (glaube ich halt)

So schauts jetzt aus:

File C:\Programme\Kazaa\Topsearch.dll infected by "not-a-virus:AdWare.Altnet.e" Virus. Action Taken: No Action Taken.
File C:\PROGRA~2\Altnet\DOWNLO~1\asmps.dll infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\cd_clint.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\sp.exe infected by "Trojan.Win32.Spooner.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\cd_clint.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\cd_clint.dll_tobedeleted infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\sabine\LOKALE~1\Temp\backups\backup-20050316-221847-663.dll infected by "not-a-virus:AdWare.ToolBar.MyWay.g" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\sabine\LOKALE~1\Temp\backups\backup-20050316-221847-989.dll infected by "not-a-virus:AdWare.Perfnav.a" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\sabine\LOKALE~1\Temp\mySetp.exe infected by "not-a-virus:AdWare.ToolBar.MyWay.g" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\sabine\LOKALE~1\Temp\xwxload.exe infected by "Trojan-Downloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.

Also die nächste Frage an euch Spezialisten:
Was gehört noch alles weg?

Dankeschön!

Liebe Grüsse
Sabine

@binal23
lade clearprogdownload
alle häckchen bei windows und IE, löschen

wechsle danach in den abgesicherten modus und lösche manuell
C:\Programme\Kazaa\Topsearch.dll
C:\PROGRA~2\Altnet\DOWNLO~1\asmps.dll
C:\WINDOWS\system32\cd_clint.dll
C:\WINDOWS\sp.exe
C:\WINDOWS\system32\cd_clint.dll_

neu booten
neue scan machen
chaosman

Ihr seid SUPER!

Nur noch ein Virus und das ist angeblich kein "richtiger":

File C:\WINDOWS\system32\cd_clint.dll_tobedeleted infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.

Dazu hab ich das gefunden:
For example:

C:\windows\system32\cd_clint.dll

Files used by this program are dropped in the following directory:

C:\windows\system32\AdCache

Soll ich dieses AdCache komplett löschen?

Danke!

Sabine

Hallo,

wenn vorhanden, dann solltest du es auch löschen.