neuer blaster???

bigconfusion · 25.01.2004, 14:26

Mein Rechner zeigt alle Anzeichen eines neuen Blasters.

Das bekannte Fenster popt auf und schaltet den Rechner nach einer Minute ab.

Bei mir wird as zum Problem weil ich ihn trotz Befolgung aller Hinweise von Symantec und Microsoft nicht runterkriege.

Ich hab mir inzwischen AntiVirus von Norton gekauft, es scheitert am Starten. Kurz nach dem Start beendet sich das Programm selbst. Die Hilfeseite von Symantec hilt mir nur bis zu dem Punkt an dem mein Rechner den Liveupdate verweigert. Andere Suchprogramme wie Spybot oder Adware zeigen keine Viren od. Trojaner an. Auch der initiale Scan von Norton erkennt nichts.

Was inzwischen auch nicht mehr funktioniert ist msconfig aufzurufen, das Fenster bleibt ca 5 sec offen, danach schaltet es sich selbst ab.

daneben habe ich noch ein Icon auf meinem Desktop "domer00046". Wie das alles zusammenhaengt weiss ich nicht, ich bin in all den Dingen unbedarft und um jeden guten Rat dankbar.

Wer kann helfen meine bigconfusion in no confusion umzuwandeln.

25.01.2004, 14:31

Also:
Erstmal willkommen im Forum.
Spybot und Ad-aware erkennen keine bzw. nur sehr vereinzelte Trojaner.

Lade dir mal bitte HijackThis und poste dein Log.:
http://www.merijn.org/downloads.html

Zusätzlich kannst du auch einen Online-Scan machen:
http://de.trendmicro-europe.com/ente...all_launch.php

Domino · 25.01.2004, 14:45

DSL oder Modem ?

Wenn Modem mach mal einen Scan mit yaw

Domino

Robi76 · 25.01.2004, 14:50

Hi 2all.

domer 00046 ist laut Goggle ein dialer von Globaldialer. Yaw runterladen und scannen.

Grüsse aus Wien.

bigconfusion · 25.01.2004, 14:52

danke fuer die schnellen Antworten:

hier mein log:

Logfile of HijackThis v1.97.7
Scan saved at 05:47:04, on 25.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Program Files\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\System32\msconfig32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Iomega\AutoDisk\ADService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Program Files\F-Secure Anti-Virus\backweb\4476822\Program\BackWeb-4476822.exe
C:\WINDOWS\System32\khooker.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\Program Files\syslaunch.exe
C:\program files\support.com\bin\tgcmd.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Yahoo!\browser\ybrwicon.exe
C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
C:\Program Files\MSI\Live Update 3\LMonitor.exe
C:\WINDOWS\DitExp.exe
C:\PROGRA~1\Yahoo!\browser\ycommon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Palm\HOTSYNC.EXE
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Program Files\SBC\Connection Manager\CManager.exe
C:\PROGRA~1\BROADJ~1\CORREC~1\CCD.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Axel\Local Settings\Temporary Internet Files\Content.IE5\ABMBYHUR\HijackThis[1].exe
C:\Program Files\F-Secure Anti-Virus\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure Anti-Virus\Anti-Virus\fssm32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.medion.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = ,
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = ,
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Common\ycomp5_1_6_0.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Common\ycomp5_1_6_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [iehelper] C:\Program Files\syslaunch.exe
O4 - HKLM\..\Run: [tgcmdprovidersbc] "c:\program files\support.com\bin\tgcmd.exe" /server /startmonitor /deaf /nosystray
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [YBrowser] C:\Program Files\Yahoo!\browser\ybrwicon.exe
O4 - HKLM\..\Run: [IPInSightMonitor 01] "C:\Program Files\SBC Yahoo!\Connection Manager\IP InSight\IPMon32.exe"
O4 - HKLM\..\Run: [auwaknb] rundll32 C:\WINDOWS\System32:auwaknb.dll,Init 1
O4 - HKLM\..\Run: [ADUserMon] C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [Microsoft Config Loader] msconfig32.exe
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 3.8\THGuard.exe"
O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Anti-Virus\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\RunServices: [Microsoft Config Loader] msconfig32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [HistoryKill] C:\Program Files\HistoryKill\histkill.exe /startup
O4 - HKCU\..\Run: [sws.exe] c:\program files\GlobalDialer\domer00046\gd-domer00046_de.exe -remove
O4 - HKCU\..\Run: [YAW starten] "C:\Program Files\YAW 3.5\yawguard.exe"
O4 - HKLM\..\RunOnce: [*auwaknb] rundll32 C:\WINDOWS\System32:auwaknb.dll,Init 1
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE
O4 - Startup: PowerReg SchedulerV2.exe
O9 - Extra button: Yahoo! Login (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Login (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Real.com (HKLM)
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/downlo...?1074658781421
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/sbcy/yinst.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {9CF28A69-7659-4C51-BFD5-9ADE19E19EC3} (RegConfig Class) - http://download.yahoo.com/dl/install...od/yregcfg.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...704.1362962963
O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://download.yahoo.com/dl/installs/ymail/ymmapi.dll
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://download.yahoo.com/dl/installs/yab_af.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.dll
O16 - DPF: {D18F962A-3722-4B59-B08D-28BB9EB2281E} (PhotosCtrl Class) - http://photos.yahoo.com/ocx/us/yexplorer1_9us.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1DCF747-AC51-42E1-A83E-2481C380E57B}: NameServer = 63.203.35.55 206.13.28.12

mmk · 25.01.2004, 14:57

Das ist ne Menge Holz. Eine Backdoor.Agobot-Infektion ist so gut wie "sicher". Ich poste dir gleich eine Auflistung von Dateien, die du dann an entsprechender Stelle prüfen kannst.

bigconfusion · 25.01.2004, 15:13

ich nutze ein DSL modem.

beseitigt YAW richtig oder stellt er ihn unter quarataene?

mmk · 25.01.2004, 15:15

YAW ist ein Erkennungs-/Entferungstool für Dialer, nicht jedoch für Netzwerkwürmer oder Backdoors. Näheres dazu - wie gesagt - gleich. [img]smile.gif[/img]

Zum Anfang bitte diese Datei...
C:\WINDOWS\System32\msconfig32.exe

...hier prüfen:
http://www.kaspersky.com/de/remoteviruschk.html

Das sollte den Agobot bestätigen.

25.01.2004, 15:16

Beides.

Shadow · 25.01.2004, 15:18

Und bitte mach Deinem Nick-Namen nicht alle Ehre.

Viel hilft nicht immer viel.
Also installieren nicht MEHRERE Virenscanner, dass funktioniert nämlich in den seltesten Fällen wie Du gerade feststellst.

Also F-Prot ODER Symantec Antivirus und nicht beide.
Allerdings spricht nichts dagegen gelegentlich einen Online-Virenscanner (*Christians* Tip) zusätzlich darüber laufen zu lassen (wenn DSL-Flat hast).

...und kaufe nie wieder einen ALDI-PC [img]graemlins/huepp.gif[/img]

mmk · 25.01.2004, 15:25

Das ist (zusätzlich zum Backdoor) einige Adware:

C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\Program Files\syslaunch.exe

O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [iehelper] C:\Program Files\syslaunch.exe

Womöglich noch ein Backdoor: Afcore:

O4 - HKLM\..\Run: [auwaknb] rundll32 C:\WINDOWS\System32:auwaknb.dll,Init 1
O4 - HKLM\..\RunOnce: [*auwaknb] rundll32 C:\WINDOWS\System32:auwaknb.dll,Init 1

Registry- Einträge zum Agobot:
O4 - HKLM\..\Run: [Microsoft Config Loader] msconfig32.exe
O4 - HKLM\..\RunServices: [Microsoft Config Loader] msconfig32.exe

Ein Dialer:

O4 - HKCU\..\Run: [sws.exe] c:\program files\GlobalDialer\domer00046\gd-domer00046_de.exe -remove

bigconfusion · 25.01.2004, 15:30

msconfig32 hat keine verdaechtigen viren,

ich habe auch noch msconfig32.exe.poly gefunden, sagt das was?

mmk · 25.01.2004, 15:33

</font><blockquote>Zitat:</font><hr />Original erstellt von bigconfusion:
msconfig32 hat keine verdaechtigen viren</font>[/QUOTE]1.) Die benannte msconfig32.exe wäre selbst die Malware, also der Backdoor.
2.) Hast du diese Datei bei dem Kaspersky-Link geprüft? Ich kann nicht glauben, dass es nicht der Backdoor.Agobot ist.

bigconfusion · 25.01.2004, 15:36

Ja, ja wer den Schaden hat ...

was laesst sich denn noch alles aus dem log lesen, verheiratet? geschlecht, letzter eisprung?

Aldi heisst in USA scheinbar Costco, bisher dacht ich immer trader joe waer der Ami Aldi

Markus,

was mach ich mit all den Zeile, loeschen? und dann?

wird norton dann funktionieren? was Passiert mit dem blasterhaften verhalten meines rechners?

bigconfusion · 25.01.2004, 15:39

ja ich habe sie bei kaspersky ueberprueft,

hier das resultat
Zu überprüfende Datei: msconfig32.exe

msconfig32.exe Komprimiert: PECompact
msconfig32.exe Ok

Statistiken:

--------------------------------------------------------------------------------
Bekannte Viren: 80657 Updated: 25.01.2004
Größe der Datei (Kb): 68 Scan-Zeit: 00:00:01
Geschwindigkeit (Kb/sek): 68 Viren-Bodies: 0
Archive: 0 Komprimiert: 1
Verzeichnisse: 0 Datei: 1
Verdächtigt: 0 Warnungen: 0

25.01.2004, 14:31	#2
Christian Gast	neuer blaster??? Also: Erstmal willkommen im Forum. Spybot und Ad-aware erkennen keine bzw. nur sehr vereinzelte Trojaner. Lade dir mal bitte HijackThis und poste dein Log.: http://www.merijn.org/downloads.html Zusätzlich kannst du auch einen Online-Scan machen: http://de.trendmicro-europe.com/ente...all_launch.php __________________

25.01.2004, 15:16	#9
Christian Gast	neuer blaster??? Beides.

neuer blaster???

Plagegeister aller Art und deren Bekämpfung: neuer blaster???

neuer blaster???

neuer blaster???

neuer blaster???

neuer blaster???

neuer blaster???

neuer blaster???

neuer blaster???

neuer blaster???

neuer blaster???

neuer blaster???

neuer blaster???

neuer blaster???

neuer blaster???

neuer blaster???

neuer blaster???

Ähnliche Themen: neuer blaster???

25.01.2004, 14:45	#3
Domino	neuer blaster??? DSL oder Modem ? Wenn Modem mach mal einen Scan mit yaw Domino __________________ __________________

25.01.2004, 14:50	#4
Robi76	neuer blaster??? Hi 2all. domer 00046 ist laut Goggle ein dialer von Globaldialer. Yaw runterladen und scannen. Grüsse aus Wien.

25.01.2004, 14:57	#6
mmk	neuer blaster??? Das ist ne Menge Holz. Eine Backdoor.Agobot-Infektion ist so gut wie "sicher". Ich poste dir gleich eine Auflistung von Dateien, die du dann an entsprechender Stelle prüfen kannst.

25.01.2004, 15:13	#7
bigconfusion	neuer blaster??? ich nutze ein DSL modem. beseitigt YAW richtig oder stellt er ihn unter quarataene?

25.01.2004, 15:15	#8
mmk	neuer blaster??? YAW ist ein Erkennungs-/Entferungstool für Dialer, nicht jedoch für Netzwerkwürmer oder Backdoors. Näheres dazu - wie gesagt - gleich. [img]smile.gif[/img] Zum Anfang bitte diese Datei... C:\WINDOWS\System32\msconfig32.exe ...hier prüfen: http://www.kaspersky.com/de/remoteviruschk.html Das sollte den Agobot bestätigen.

25.01.2004, 15:30	#12
bigconfusion	neuer blaster??? msconfig32 hat keine verdaechtigen viren, ich habe auch noch msconfig32.exe.poly gefunden, sagt das was?

25.01.2004, 15:33	#13
mmk	neuer blaster??? </font><blockquote>Zitat:</font><hr />Original erstellt von bigconfusion: msconfig32 hat keine verdaechtigen viren</font>[/QUOTE]1.) Die benannte msconfig32.exe wäre selbst die Malware, also der Backdoor. 2.) Hast du diese Datei bei dem Kaspersky-Link geprüft? Ich kann nicht glauben, dass es nicht der Backdoor.Agobot ist.

25.01.2004, 15:36	#14
bigconfusion	neuer blaster??? Ja, ja wer den Schaden hat ... was laesst sich denn noch alles aus dem log lesen, verheiratet? geschlecht, letzter eisprung? Aldi heisst in USA scheinbar Costco, bisher dacht ich immer trader joe waer der Ami Aldi Markus, was mach ich mit all den Zeile, loeschen? und dann? wird norton dann funktionieren? was Passiert mit dem blasterhaften verhalten meines rechners?