Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Trojan.VBS.Wisis.b und mehr

Trojan.VBS.Wisis.b und mehr


Plagegeister aller Art und deren Bekämpfung: Trojan.VBS.Wisis.b und mehr

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.07.2005, 11:16   #1
enca
 
Trojan.VBS.Wisis.b und mehr - Standard

Trojan.VBS.Wisis.b und mehr


huhu, wieder mal ein sorgenkind... escan und HijackThis log sind angehängt. hoffentlich könnt ihr mir auch hier helfen...

escan:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Jul 04 10:37:42 2005 => System found infected with BlazeFind Spyware/Adware ({15ad4789-cdb4-47e1-a9da-992ee8e6bad6})! Action taken: No Action Taken.
Mon Jul 04 10:37:44 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Mon Jul 04 10:37:45 2005 => System found infected with Wind Updates Spyware/Adware (bridgex.installer)! Action taken: No Action Taken.
Mon Jul 04 10:37:49 2005 => System found infected with WindUpdate Spyware/Adware (ide21201.vxd)! Action taken: No Action Taken.
Mon Jul 04 10:38:37 2005 => File C:\$NtUninstallQ303030$\WINSYS.cer infected by "Trojan.VBS.Wisis.b" Virus! Action Taken: No Action Taken.
Mon Jul 04 11:01:16 2005 => File C:\Dokumente und Einstellungen\user2\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D4T94ZRH\archive[1].jar infected by "Trojan.Java.ClassLoader.z" Virus! Action Taken: No Action Taken.
Mon Jul 04 11:09:11 2005 => File C:\Dokumente und Einstellungen\user2\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KVMPMVGF\AD_rotator[1].htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Mon Jul 04 11:31:00 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Mon Jul 04 11:57:02 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Jul 04 11:28:26 2005 => File C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Temp\T-Online 5.0\Software\Fotoservice\setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jul 04 11:28:29 2005 => File C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Temp\T-Online 5.0\T-Online\Copas\CopasInst.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jul 04 11:29:55 2005 => File C:\Dokumente und Einstellungen\Michi\Eigene Dateien\SurfinGuardPro57b310eval.exe tagged as not-a-virus:Effect.Win32.FinjanDemo. No Action Taken.
Mon Jul 04 11:29:55 2005 => File C:\Dokumente und Einstellungen\user3\Eigene Dateien\zlsSetup_51_033_000.exe tagged as not-a-virus:Effect.Win32.FinjanDemo. No Action Taken.
Mon Jul 04 11:30:20 2005 => File C:\program files\aaw6181.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jul 04 11:40:13 2005 => File C:\Programme\Lavasoft\Ad-aware 6\Unwise.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jul 04 11:41:40 2005 => File C:\Programme\T-Online\Copas\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Jul 04 11:57:02 2005 => Total Virus(es) Found: 17
Mon Jul 04 11:57:02 2005 => Total Errors: 558
Mon Jul 04 11:57:03 2005 => Time Elapsed: 01:20:29
Mon Jul 04 11:57:02 2005 => Total Objects Scanned: 75770
Mon Jul 04 10:35:40 2005 => Virus Database Date: 2005/06/24
Mon Jul 04 11:57:03 2005 => Virus Database Date: 2005/06/24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Logfile of HijackThis v1.99.1
Scan saved at 10:05:12, on 04.07.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe
C:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\InterVideo\WinDVR\WinScheduler.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Dokumente und Einstellungen\user1\Eigene Dateien\antivir\ClearProg_1.4.2_Beta5\ClearProg.exe
C:\Dokumente und Einstellungen\user1\Eigene Dateien\antivir\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
F3 - REG:win.ini: run=c:\windows\system32\dmtdll.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Sys32] regedit -s C:\$NtUninstallQ303030$\WINSYS.cer
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [Fast start] C:\WINDOWS\system32\ntnut.exe home
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunOnce: [Sys32] C:\$NtUninstallQ303030$\WINSYS.vbs
O4 - HKCU\..\Run: [] regedit -s C:\$NtUninstallQ303030$\WINSYS.cer
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.ex e
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Programme\InterVideo\WinDVR\WinScheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - O20 - AppInit_DLLs: FHook.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Geändert von enca (04.07.2005 um 12:30 Uhr)

Alt 04.07.2005, 12:07   #2
Gigamail
 
Trojan.VBS.Wisis.b und mehr - Standard

Trojan.VBS.Wisis.b und mehr


Hi,
Wichtig: in HJT Log-Files sollten aktive Links und persönliche Informationen editiert werden.
Z.B.:http:// in h**p:// und C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis\1.99.1\HijackThis.exe
also Links in deinem Post edditieren!!

Zitat:
huhu, wieder mal ein sorgenkind...
Du wirst auch immer ein Sogenkind bleiben, Grund:
Zitat:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) (WinNT 5.01.2600)
Du solltest unbedingt Dein System updaten
Windowsupdate oder CD-Bestellung SP2
Lade ClearProg = =>Haken setzen bei alles löschen und auf ok.
--> boote in den abgesicherter Modus , deaktiviere die
Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken ) Anleitung
folgende Einträge:

alle RO und R1 Einträge
F3 - REG:win.ini: run=c:\windows\system32\dmtdll.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Sys32] regedit -s C:\$NtUninstallQ303030$\WINSYS.cer
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [Fast start] C:\WINDOWS\system32\ntnut.exe home
O4 - HKLM\..\RunOnce: [Sys32] C:\$NtUninstallQ303030$\WINSYS.vbs
O4 - HKCU\..\Run: [] regedit -s C:\$NtUninstallQ303030$\WINSYS.cer
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://h**p://public.windupdates.com...22384e480b9c0d
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://h**p://appldnld.m7z.net/qtins...lInstaller.exe

lösche von Hand folgende Dateien:

c:\windows\system32\dmtdll.exe
C:\$NtUninstallQ303030$\WINSYS.cer
internat.exe ----> falls vorhanden (Festplatte durchsuchen)
C:\WINDOWS\system32\ntnut.exe home
C:\$NtUninstallQ303030$\WINSYS.vbs

schau auch ob sich solche Dateien wie in den beiden Links beschrieben, auf deinem System befinden wenn ja dann auch löschen
http://www.sophos.de/virusinfo/analy...jcrypterc.html
http://www.sophos.de/virusinfo/analyses/vbswisisa.html

danach neu booten Systemwiederherstellung wieder aktivieren neue Startseite vergeben und neues HJT posten
__________________

__________________
Alt 04.07.2005, 15:26   #3
enca
 
Trojan.VBS.Wisis.b und mehr - Standard

Trojan.VBS.Wisis.b und mehr


Logfile of HijackThis v1.99.1
Scan saved at 16:22:14, on 04.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe
C:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\InterVideo\WinDVR\WinScheduler.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Dokumente und Einstellungen\Annemarie\Eigene Dateien\antivir\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Programme\InterVideo\WinDVR\WinScheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: FHook.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

done. so weit es ging... einige dateien hab ich nicht gefunden (suche benutzt).
__________________
Alt 04.07.2005, 15:47   #4
Gigamail
 
Trojan.VBS.Wisis.b und mehr - Standard

Trojan.VBS.Wisis.b und mehr


Lade Dir Spybot-S&D und
Ad-Aware und update beide Programme.
Das Logfile sieht jetzt schon mal besser aus, und schon SP2 drauf, sehr gut, in Zukunft auch immer up to date halten da jeden Monat neue Sicherheitslöscher bei Microsoft gestopft werden. In Zukunft solltest du mit sicheren Browser/Mailprogramm ins Netz gehen und IE nur noch für Windowsupdates verwenden
http://filepony.de/download-opera/
http://www.mozilla.org/
http://www.thunderbird-mail.de/thunderbird/
Du kannst jetzt nochmal mit eScan checken um zu sehen ob wir was vergessen haben. Lösche aber vorher die Logdatei im Ordner C:\Bases_X diese wird dann neu erstellt
boote in den abgesicherten Modus bei deaktivierter Systemwiederherstellung und scanne nacheinander mit Spybot, Ad-aware lösche alle Funde danach noch eScan und davon das Ergebnis mitteilen
__________________
Gruß Gigamail

eScan-Anleitung und Download



Alt 04.07.2005, 19:19   #5
enca
 
Trojan.VBS.Wisis.b und mehr - Standard

Trojan.VBS.Wisis.b und mehr


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Jul 04 17:35:38 2005 => System found infected with Wind Updates Spyware/Adware (bridgex.installer)! Action taken: No Action Taken.
Mon Jul 04 17:35:42 2005 => System found infected with WindUpdate Spyware/Adware (ide21201.vxd)! Action taken: No Action Taken.
Mon Jul 04 17:36:30 2005 => File C:\$NtUninstallQ303030$\WINSYS.cer infected by "Trojan.VBS.Wisis.b" Virus! Action Taken: No Action Taken.
Mon Jul 04 17:59:45 2005 => File C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\D4T94ZRH\archive[1].jar infected by "Trojan.Java.ClassLoader.z" Virus! Action Taken: No Action Taken.
Mon Jul 04 18:10:33 2005 => File C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KVMPMVGF\AD_rotator[1].htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Mon Jul 04 18:37:49 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Mon Jul 04 19:16:17 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Jul 04 18:36:08 2005 => File C:\Dokumente und Einstellungen\xxx\Eigene Dateien\SurfinGuardPro57b310eval.exe tagged as not-a-virus:Effect.Win32.FinjanDemo. No Action Taken.
Mon Jul 04 18:36:08 2005 => File C:\Dokumente und Einstellungen\xxx\Eigene Dateien\zlsSetup_51_033_000.exe tagged as not-a-virus:Effect.Win32.FinjanDemo. No Action Taken.
Mon Jul 04 18:36:47 2005 => File C:\program files\aaw6181.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jul 04 18:47:16 2005 => File C:\Programme\Lavasoft\Ad-aware 6\Unwise.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Mon Jul 04 18:49:11 2005 => File C:\Programme\T-Online\Copas\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Jul 04 19:16:17 2005 => Total Virus(es) Found: 13
Mon Jul 04 19:16:17 2005 => Total Errors: 566
Mon Jul 04 19:16:17 2005 => Time Elapsed: 01:55:03
Mon Jul 04 19:16:17 2005 => Total Objects Scanned: 79164
Mon Jul 04 17:20:51 2005 => Virus Database Date: 2005/06/24
Mon Jul 04 19:16:17 2005 => Virus Database Date: 2005/06/24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~

ist wohl noch nicht ganz io :-/


Alt 04.07.2005, 20:19   #6
Gigamail
 
Trojan.VBS.Wisis.b und mehr - Standard

Trojan.VBS.Wisis.b und mehr


boote wieder in den abgesicherten Modus bei deaktivierter Systemwiederherstellung un dlösche von Hand folgende Dateien:

C:\$NtUninstallQ303030$\WINSYS.cer

Datenträgerbereinigung:

Windowstaste+R --> cleanmgr --> <enter>
klick bei Temporary internet files
klick bei temp
klick bei Papierkorb
ok

boote neu aktiviere die Systemwiederherstellung und poste ein neues HJT
__________________
--> Trojan.VBS.Wisis.b und mehr

Alt 04.07.2005, 21:12   #7
enca
 
Trojan.VBS.Wisis.b und mehr - Standard

Trojan.VBS.Wisis.b und mehr


die besagte datei wurde nicht gefunden, scheint nicht vorhanden zu sein... habs auch über das dos eingabefenster probiert... rest hab ich gemacht.

Logfile of HijackThis v1.99.1
Scan saved at 22:06:01, on 04.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe
C:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\InterVideo\WinDVR\WinScheduler.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Dokumente und Einstellungen\xxx\Eigene Dateien\antivir\hijackthis\HijackThis.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqfru07.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Programme\InterVideo\WinDVR\WinScheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: FHook.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Alt 04.07.2005, 21:19   #8
chaosman
 
Trojan.VBS.Wisis.b und mehr - Standard

Trojan.VBS.Wisis.b und mehr


@enca
hast du es so schon mal versucht?
Im Windows-Explorer:
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
Zitat Haui45

chaosman
__________________
Bonus vir semper tiro

Alt 04.07.2005, 21:27   #9
chaosman
 
Trojan.VBS.Wisis.b und mehr - Standard

Trojan.VBS.Wisis.b und mehr


@enca
lasse diese datei FHook.dll
hier online überprüfen http://virusscan.jotti.org/de/
und poste das ergebnis

infos
http://www.sophos.de/virusinfo/analyses/vbswisisa.html

chaosman
__________________
Bonus vir semper tiro

Antwort

Themen zu Trojan.VBS.Wisis.b und mehr
1.exe, ad-aware, adobe, antivir, antivir update, appinit_dlls, bho, content.ie5, dsl, einstellungen, excel, explorer, fast start, file, guardpro, hijack, hijackthis, hijackthis log, home, infected, internet, internet explorer, log, logfile, monitor, programme, software, system, t-online, updates, virus, windows, windows xp


« Wer weiß Bescheid? | Windows Error - Windows has detected spyware activity.... »


Ähnliche Themen: Trojan.VBS.Wisis.b und mehr


  1. [Win XP] botnet: ntp-muliplier; desinfect: Trojan.Script.Iframer, Trojan.Heur.TP, Win.Trojan.Iniduoh, Win.Trojan.Ramnit
    Log-Analyse und Auswertung - 08.02.2014 (16)
  2. Trojan.FakeMs und mehr gefunden - was sollte ich tun?
    Log-Analyse und Auswertung - 19.05.2013 (1)
  3. Trojan.Ransom.ANC - Browser funktioniert nicht mehr - Virenprogramme funktionieren nicht mehr
    Log-Analyse und Auswertung - 30.10.2012 (2)
  4. Trojan.Agent, Bundeswehrtrojaner und vieles mehr
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (1)
  5. Trojan.Gen.2, danach immer mehr
    Log-Analyse und Auswertung - 11.07.2012 (10)
  6. Trojan.zeroaccess!kmem - nichts geht mehr
    Plagegeister aller Art und deren Bekämpfung - 02.02.2012 (1)
  7. Trojan.Spyeyes, Taskmanager nicht mehr auffindbar, Acrobat Reader funktioniert nicht mehr
    Plagegeister aller Art und deren Bekämpfung - 17.10.2011 (8)
  8. bka trojan? pc bootet nicht mehr
    Log-Analyse und Auswertung - 26.07.2011 (5)
  9. Nach entfernung von Trojan.FakeAlert geht nix mehr
    Log-Analyse und Auswertung - 13.05.2011 (10)
  10. BDS/Bredolab.fjo +TR/ATRAPS.Gen2' [trojan und viele mehr........
    Plagegeister aller Art und deren Bekämpfung - 02.07.2010 (1)
  11. TR/Crypt.XPACK.Gen, Trojan.BHO.Gen und mehr
    Plagegeister aller Art und deren Bekämpfung - 21.01.2010 (14)
  12. Trojan.Win32 Windows startet nicht mehr!!!
    Plagegeister aller Art und deren Bekämpfung - 19.08.2009 (18)
  13. trojan.vundo und vieles mehr. bin verzweifelt
    Log-Analyse und Auswertung - 07.11.2008 (2)
  14. Trojan-Clicker.Win32.Tiny.h und mehr - Was Tun ?
    Plagegeister aller Art und deren Bekämpfung - 15.09.2008 (11)
  15. Trojan und Net wurm!!! Hilfe werden immer mehr
    Mülltonne - 04.11.2007 (0)
  16. trojan.win32zapchast.ca - werde ihn nicht mehr los
    Plagegeister aller Art und deren Bekämpfung - 27.09.2006 (9)
  17. birnge trojan.downloader.keenval.f nicht mehr weg
    Plagegeister aller Art und deren Bekämpfung - 09.05.2005 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojan.VBS.Wisis.b und mehr - huhu, wieder mal ein sorgenkind... escan und HijackThis log sind angehängt. hoffentlich könnt ihr mir auch hier helfen... escan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Mon Jul 04 10:37:42 - Trojan.VBS.Wisis.b und mehr...
Archiv
Du betrachtest: Trojan.VBS.Wisis.b und mehr auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131