| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Bin ich noch infiziert?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
15.12.2003, 19:26
| #1 |
| |  Bin ich noch infiziert? hi hab von jemandem nen ordner geschickt bekommen und kurz drauf is sofort mein anti virus programm angesprungen, hab auch alle gefundenen viren gelöscht und mein programm sagt auch ich bin clean, aber ich vertrau ihm nicht so wirklich... kann hiermit jemand was anfangen, und wenn ja bin ich immer noch infiziert? Logfile of HijackThis v1.97.7 Scan saved at 19:09:37, on 15.12.2003 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\hidserv.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\AntiViral Toolkit Pro\avpm.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINNT\regedit.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\doMi\LOKALE~1\Temp\Rar$EX00.502\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://81.211.105.8/search.php?v=1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://81.211.105.8/index.php?v=1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bahn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir..._PVER}&ar=home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [PMXInit] C:\WINNT\system32\pmxinit.exe O4 - HKLM\..\Run: [APIMon] C:\WINNT\msreg.exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - Global Startup: AVP Monitor.lnk = C:\Programme\AntiViral Toolkit Pro\avpm.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemp...veSecurity.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...863.6158333333 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7464BBD1-1413-42EA-94CB-C3914A7F0375}: NameServer = 217.5.112.21 194.25.2.129 O17 - HKLM\System\CCS\Services\Tcpip\..\{F14A055E-4019-4418-AC66-9175DEC302A4}: NameServer = 192.168.0.2 O17 - HKLM\System\CS1\Services\Tcpip\..\{7464BBD1-1413-42EA-94CB-C3914A7F0375}: NameServer = 217.5.112.21 194.25.2.129 Vielen Dank, MFG doMi |
|
15.12.2003, 20:07
| #2 |
  | Bin ich noch infiziert? Du hast noch den coolwebsearch Hijacker:
__________________http://www.merijn.org/cwschronicles.htm
__________________ |
|
15.12.2003, 20:17
| #3 |
| Moderator, a.D.   | Bin ich noch infiziert? </font><blockquote>Zitat:</font><hr />Original erstellt von raman:
__________________http://www.merijn.org/cwschronicles.htm </font>[/QUOTE]The requested URL /cwschronicles.htm was not found on this server. Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request. Aber die Hauptseite ist auch interessant. Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
|
15.12.2003, 21:08
| #4 |
| | Bin ich noch infiziert? Hm, der Link funktioniert hier. Naja Merijn hat seine Hauptseite, wie du schon gemerkt hast(ich nicht!  ) jetzt fertig.
__________________ MfG Ralf |
|
15.12.2003, 21:12
| #5 |
| Gast | Bin ich noch infiziert? </font><blockquote>Zitat:</font><hr />Original erstellt von doMi69: hi hab von jemandem nen ordner geschickt bekommen und kurz drauf is sofort mein anti virus programm angesprungen, hab auch alle gefundenen viren gelöscht und mein programm sagt auch ich bin clean, aber ich vertrau ihm nicht so wirklich... kann hiermit jemand was anfangen, und wenn ja bin ich immer noch infiziert? Logfile of HijackThis v1.97.7 Scan saved at 19:09:37, on 15.12.2003 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\hidserv.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\AntiViral Toolkit Pro\avpm.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINNT\regedit.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\doMi\LOKALE~1\Temp\Rar$EX00.502\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://81.211.105.8/search.php?v=1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://81.211.105.8/index.php?v=1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bahn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir..._PVER}&ar=home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [PMXInit] C:\WINNT\system32\pmxinit.exe O4 - HKLM\..\Run: [APIMon] C:\WINNT\msreg.exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - Global Startup: AVP Monitor.lnk = C:\Programme\AntiViral Toolkit Pro\avpm.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemp...veSecurity.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...863.6158333333 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7464BBD1-1413-42EA-94CB-C3914A7F0375}: NameServer = 217.5.112.21 194.25.2.129 O17 - HKLM\System\CCS\Services\Tcpip\..\{F14A055E-4019-4418-AC66-9175DEC302A4}: NameServer = 192.168.0.2 O17 - HKLM\System\CS1\Services\Tcpip\..\{7464BBD1-1413-42EA-94CB-C3914A7F0375}: NameServer = 217.5.112.21 194.25.2.129 Vielen Dank, MFG doMi </font>[/QUOTE]Dieses APImon lässt mich daran zweifeln ob du wirklich clean bist, ich hab nämlich Freshbind2 von EVILEYESOFTWARE und wenn man will kann man ein gebundenes Programm jedes mal booten lassen, und APImon ist der standardname von dem Registry-Key. Updreg.exe ist soweit ich weiß ne datei von dem Agobot, bin mir da aber nicht so sicher... Sehr seltsam... |
|
| Themen zu Bin ich noch infiziert? |
| adobe, bho, clean, excel, explorer, gelöscht, hijack, hijackthis, home, icq, infiziert, internet, internet explorer, microsoft, nicht, nvcpl.dll, object, ordner, programm, programme, rundll, shockwave, software, system, tcpip, temp, viren, virus, windows |
Linear-Darstellung
