probleme mit java/blackbox.aa.1--> ich brauch hilfe!!!!

solid-snake · 19.10.2005, 13:09

hallo und servus,
ich hab da so ein problem das mit irgend nem dummen virus oder trojaner namens "Java/BlackBox.AA.1" zu tun hat. ich hab schon im internet nach selbsthilfe geforscht, bin aber nicht fündig geworden! dann hab ich was über HijackThis gefunden aber ich weis nicht wie das funktioniert! ich habe hier die hijackthis.log mal kopiert

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/news?ned=de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1759EDD6-DA66-4102-86E2-10467C0EC942} - C:\WINDOWS\system32\pah.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA6B11ED-C262-474F-A020-BE939982FEAC}: NameServer = 217.237.149.225 217.237.151.97
O18 - Filter: text/html - {80D19718-58B2-41C3-BC94-08D9803DDCD6} - C:\WINDOWS\system32\pah.dll
O18 - Filter: text/plain - {80D19718-58B2-41C3-BC94-08D9803DDCD6} - C:\WINDOWS\system32\pah.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

ich kapiere einfach nicht was die guten und was die bösen dateien sind! könnt ihr mir bitte helfen und mir sagen welche ich löschen muss!!
daaaaaaaaaaaannnnnnnnnnnnnnnnnnnnnnnnkkkkkkkkkkkeeeeeeeeeeee!!!!!!!!!

MFG solid-snake

stupormundi · 19.10.2005, 13:20

Servus, solid-snake!
Wenn schon posten, dann bitte das ganze Logfile, angefangen mit dem Kopf!
Und Deine Tastatur solltest Du einmal neu einstellen - einige Buchstaben scheinen zu hängen!

stupormundi

solid-snake · 20.10.2005, 09:48

oh, ok tut mir leid! ich dachte nur das ist nicht wichtig!
Logfile of HijackThis v1.99.1
Scan saved at 13:54:49, on 19.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Netropa\InetKb\Inetkb.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\WINDOWS\system32\imapi.exe
C:\Dokumente und Einstellungen\*****\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/news?ned=de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1759EDD6-DA66-4102-86E2-10467C0EC942} - C:\WINDOWS\system32\pah.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA6B11ED-C262-474F-A020-BE939982FEAC}: NameServer = 217.237.149.225 217.237.151.97
O18 - Filter: text/html - {80D19718-58B2-41C3-BC94-08D9803DDCD6} - C:\WINDOWS\system32\pah.dll
O18 - Filter: text/plain - {80D19718-58B2-41C3-BC94-08D9803DDCD6} - C:\WINDOWS\system32\pah.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Dane das du mir helfen willst!

MFG solid-snake

stupormundi · 20.10.2005, 10:35

Servus wieder, solid-snake!
Diese Einträge im fixen:

Zitat:

O2 - BHO: (no name) - {1759EDD6-DA66-4102-86E2-10467C0EC942} - C:\WINDOWS\system32\pah.dll (file missing)
...
O18 - Filter: text/html - {80D19718-58B2-41C3-BC94-08D9803DDCD6} - C:\WINDOWS\system32\pah.dll
O18 - Filter: text/plain - {80D19718-58B2-41C3-BC94-08D9803DDCD6} - C:\WINDOWS\system32\pah.dll

Wegen Deines Virenfundes: Wo soll der denn stecken?
Ist im übrigen der hier:
http://de.mcafee.com/virusInfo/defau...virus_k=100261
btw: benutze einen alternativen Browser (FF, Opera) und du hast damit (fast) kein Problem. Das Ding nutzt eine alte bekannt kritische Schwachstellte des IE.
Lass´aber dann auch mal escan nach Cidres Anleitung
http://www.trojaner-board.de/showthread.php?t=17492 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste dann das Ergebnis von Haui45´s "find.bat" (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an alle Punkte dieser Anleitung (Speicherort vpn escan, Update vor dem Scan, Spracheinstellung "English", Häkchen wie beschrieben setzen), sonst funktioniert die find.bat nicht.
Habe Geduld, bei richtigen Einstellungen läuft der Scan >1 Stunde und länger.
Bis dann, stupormundi

solid-snake · 20.10.2005, 22:42

you're the man!!!!!!!!!!! vielen vielen dank!!!!!!!!!!

:aplaus:

probleme mit java/blackbox.aa.1--> ich brauch hilfe!!!!

Log-Analyse und Auswertung: probleme mit java/blackbox.aa.1--> ich brauch hilfe!!!!