hi ^

also ich arbeite mal heut abend die liste ab, muss jetzt nur schnell zum training flitzen..
also vorerst hab windows xp

LG sportyangelari

Erstell am besten zunächst mal das LogFile, dann gewinnt man auch einen Überblick über den "Patch-Stand" auf deinem System...

moin,

</font><blockquote>Zitat:</font><hr />Original erstellt von DieIdeeistGut:

Logfile of HijackThis v1.97.7
Scan saved at 15:14:59, on 23.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)


O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
</font>[/QUOTE]mich wundert dieser starteintrag aber auch ein wenig! bei win xp hab ich noch nie eine systray.exe gesehen. bitte mal bei RAV online durchchecken lassen zur sicherheit.

N´abend,
Also das hat cwshredder ausgespuckt:
Was das nun bedeutet? keine ahnung... ich poste gleich noch einmal das hijak gedingse.... frau halt, gelle?

Grinsi
Eure sportyangelari

Windows XP (5.01.2600 )
Windows dir: C:\WINDOWS
Windows system dir: C:\WINDOWS\system32
AppData folder: C:\Dokumente und Einstellungen\Ariane\Anwendungsdaten
Username: Ariane

Found Hosts file: C:\WINDOWS\system32\drivers\etc\hosts (894 bytes, A)
Hosts file: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe
UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe,
CWS.Oslogo (if value is 2) Registry value: Domains: *.coolwebsearch.com[*] dword:4
CWS.Oslogo (if value is 2) Registry value: Domains: *.coolwwwsearch.com[*] dword:4
CWS.Googlems.2 (if value is 2) Registry value: Domains: *.xxxtoolbar.com[*] dword:4
CWS.Googlems.4 (if value is 2) Registry value: Domains: *.teensguru.com[*] dword:4
Registry value: DefaultPrefix (should be http://) [] http://
Registry value: WWW Prefix (should be http://) [www] http://
Registry value: Mosaic Prefix (should be http://) [mosaic] http://
Registry value: Home Prefix (should be http://) [home] http://
Found Win.ini file: C:\WINDOWS\win.ini (600 bytes, A)
Found System.ini file: C:\WINDOWS\system.ini (227 bytes, A)

ach und der trojaner heisst als datei: c:/windows/system32/atpartners.dll:

ok frau hat es hinbekommen, hier sind die log-infos.... wehe irgendjemand treibt damit unfug * allefiesenbösanschau*

Grins hoffe mir kann hier jemand helfen... bitte die 30 sekündige meldung treibt mich zur weißglut....

Lg die ari


Logfile of HijackThis v1.97.7
Scan saved at 22:36:51, on 25.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ArcorDSL\ArcorDSL.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\WINDOWS\SysUpd.exe
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\Ariane\LOKALE~1\Temp\~AceTemp\hijackthis1977\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
R3 - Default URLSearchHook is missing
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [cxudrvdrv] C:\WINDOWS\System32\sftmon.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\SysUpd.exe
O4 - HKLM\..\Run: [vqfqtkh] C:\WINDOWS\vqfqtkh.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [cxudrvdrv] C:\WINDOWS\System32\sftmon.exe
O4 - HKLM\..\RunOnce: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" "+b1"
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O15 - Trusted Zone: http://www.liebesschmerzen.de
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6ADD192-BB4C-4031-8FD1-ABDB68F99EE0}: NameServer = 145.253.2.11 145.253.2.171

Moin, Frau!

</font><blockquote>Zitat:</font><hr />Original erstellt von sportyangelari:
ok frau hat es hinbekommen, hier sind die log-infos.... wehe irgendjemand treibt damit unfug * allefiesenbösanschau*</font>[/QUOTE]Hm, was sollten wir denn damit anstellen? Eine Pizza auf deine Rechnung bestellen? Keine Sorge, so ein LogFile gibt nicht viel dazu her. [img]smile.gif[/img]


</font><blockquote>Zitat:</font><hr />die 30 sekündige meldung treibt mich zur weißglut....</font>[/QUOTE]Vom AntiVirenprogramm?


OK, mal sehen, inwieweit wir der Ariane auf dem Weg nach oben weiterhelfen können. *g*


Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Das System solltest du dringend patchen, sprich: alle Updates einspielen.

Diese Datei bitte bei Kaspersky prüfen:
C:\WINDOWS\SysUpd.exe

http://www.kaspersky.com/de/scanforvirus


Löschen (in HijackThis markieren, dann Fix checked wählen):

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [vqfqtkh] C:\WINDOWS\vqfqtkh.exe
O4 - HKCU\..\Run: [cxudrvdrv] C:\WINDOWS\System32\sftmon.exe

</font><blockquote>Zitat:</font><hr />Original erstellt von sportyangelari:
ach und der trojaner heisst als datei: c:/windows/system32/atpartners.dll:</font>[/QUOTE]Starte Windows im abgesicherten Modus, und lösch neben den anderen, bereits genannten Dateien, auch diese. Wie das Starten im Abgesicherten Modus geht, steht hier beschrieben:

http://www.bsi.de/av/texte/winsave.htm#WindowsXP

Halli Hallo....

also hab alle Ratschläge befolgt * den abgesicherten Modus konnte ich auch noch ohne bedienungsanleitung ausführen, aber trotzdem danke* und er ist wech.... naja jedenfalls hab ich seit 10 Minuten keine AV meldung mehr bekommen... muahmuahmuahmuah.... *stirb du Mistvieh*

Also noch einmal tausend Dank an Euch

Klasse

[img]graemlins/party.gif[/img] Ariane

Hallo,

schön, dass es funktioniert hat.
Was ergab die Prüfung der SysUpd.exe?

Wichtig zur Vorbeugung ist es, dass du die aktuellsten Patches einspielst. Falls du kein DSL hast, kannst du dir hier kostenfrei eine CD bei Microsoft bestellen, und dann nur den Rest über's Internet laden (dazu den IE benutzen).

Ansonsten, also für das Surfen im Netz, empfehle ich eher...
- Firefox
- Mozilla
- Opera

hallo zusammen,
hab mich auch lange mit dem gleichen problem gequält. irgendwann hab ich eine unorthodoxe methode gewählt:

1. das infizierte file ist ATPARTNERS.DLL
2. öffne das file mit editor. lösche den inhalt bis auf die ersten Zeilen (jen nach belieben)
3. speichern. es ist wichtig, daß der typ konfigurationsdatei bestehen bleibt. keinesfalls darf es schon als vir etc. gelogged sein (ich weiß jedenfalls nicht wie man das fixed)
4. in den einstellungen der Datei auf "schreibgeschützt" stellen.

damit ist der infizierte inhalt gelöscht, AntiVir erkennt es nicht mehr als solches und außerdem hat die routine die immer wieder das file generiert keine chance mehr, da es das gefakte file nicht überschreiben kann

seither hab ich Ruhe!!

grüße

Gerhard

Hi Folks,

hab mir auch diesen Trojaner eingefangen - die Dateien in denen er sein soll hab ich aber nicht!!!!

hier ist mal mein Log:

Logfile of HijackThis v1.97.7
Scan saved at 12:09:57, on 04.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\PowerArchiver\POWERARC.EXE
C:\DOKUME~1\Steffen\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = @ie
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.monash.edu.au:80
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/181ba6867e953d1...dxIE601_de.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...974.3346643519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Sorry zu früh abgeschickt [img]smile.gif[/img]

Kann mir da jemand weiterhelfen? Bin schon langsam am verzweifeln weil nichts aus den Foren auf meinen Fall zutrifft

Danke
Steffen