also erstmal hallo...

probleme :
TR/Drop.Small.bke.2

und zwar immer und immer wieder ...*eek*

dann kann ich diese datei nicht löschen : HLsetup3.exe (ich habe den verdacht das der mist daher rührt...) <sollte ein screensaver sein *hrhrhr

weiteres problem :

- ich kann einen film partout nicht löschen
- der explorer lässt den pc ständig verrecken weil die CPU durch ihn 100% hat

Fragen:

wie krieg ich den scheiß trojanerdazu sich zu verpfeifen?
was zur hölle hat der explorer fürn problem?
wieso kann ich diesen film net löschen?

zu guter letzt ein hinweis:

ich mag zwar nicht doof sein aber von solchen dingen verstehe ich nix, also alles schön langsam und für individuen wie mich verständlich erklären!

so far...

thx im vorraus



Logfile of HijackThis v1.99.1
Scan saved at 12:30:52, on 10.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Sony\VAIO Action Setup\VAServ.exe
C:\Programme\Nero\Nero 7\Nero StartSmart\NeroStartSmart.exe
C:\Programme\LimeWire\LimeWire.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\USELES~1\LARACR~1.EXE\HLsetup3.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://w*w.club-vaio.sony-europe.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [SemanticInsight] C:\Programme\RXToolBar\Semantic Insight\SemanticInsight.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VAIO Action Setup (Server).lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://w*w.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1139016445187
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - h**p://lg.home.microsoft.com/search/lobby/searchsettings.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3632B834-FA36-4C5A-BD9F-BC6D2D93DA49}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{3632B834-FA36-4C5A-BD9F-BC6D2D93DA49}: NameServer = 192.168.1.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe

Hallo,
überprüfe mal die Datei
C:\PROGRA~1\USELES~1\LARACR~1.EXE\HLsetup3.exe hier und poste das Ergebnis.

Außerdem schaust du mal unter Systemsteuerung>>Software ob dort ein Eintrag von RXToolbar ist, wenn ja deinstallieren.

Grüße Wildone

also unter systemsteuerung ist keine rx-toolbar zu finden...

des weiteren habe ich die datei auf virus total scannen lassen...mit dem ergebnis das die response eine undefinierte zeit in anspruch nehmen wird und ich hab halt meine mail hinterlassen und kriegs dann wohl zugeschickt....



und jetzt herr specht???

Hallo,
Also eigentlich gibt es das Ergebnis bei virustotal sofort (nach max. 1-2 min), bin mir nicht sicher ob du es richtig gemacht hast. Alternativ kannst du auch hier überprüfen.

Dann fixe (Haken davor und auf "fix checked") folgenden Eintrag:

O4 - HKLM\..\Run: [SemanticInsight] C:\Programme\RXToolBar\Semantic Insight\SemanticInsight.exe

Außerdem löschst du folgenden Ordner:
C:\Programme\RXToolBar\

Grüße Wildone

lieber wildone

mir ist allen ernstes schleierhaft was man da falsch machen kann ...
wie dem auch sei der scan auf dem letzten link ergab folgendes:

Auslastung: 0% 100%

Datei: HLsetup3.exe.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Trojan.Downloader.Small.Bke gefunden
Avast Keine Viren gefunden
AVG Antivirus Downloader.Generic.EFE gefunden
BitDefender Trojan.Downloader.Small.BKE gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.DownLoader.3945 gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Small.bke gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA TrojanDownloader.Win32.Small gefunden
VBA32 Trojan-Downloader.Win32.Small.bke gefunden



den ordner C:\Programme\RXToolBar\
gibt es nicht...


nach dem fixen kam folgender log:



Logfile of HijackThis v1.99.1
Scan saved at 13:39:13, on 10.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Sony\VAIO Action Setup\VAServ.exe
C:\Programme\Nero\Nero 7\Nero StartSmart\NeroStartSmart.exe
C:\Programme\LimeWire\LimeWire.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\USELES~1\LARACR~1.EXE\HLsetup3.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://w*w.club-vaio.sony-europe.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VAIO Action Setup (Server).lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - *://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - **p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1139016445187
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - *://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - *://lg.home.microsoft.com/search/lobby/searchsettings.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3632B834-FA36-4C5A-BD9F-BC6D
2D93DA49}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{3632B834-FA36-4C5A-BD9F-BC6D2D93DA49}: NameServer = 192.168.1.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe


achja da fällt mir noch was ein...wie krieg ich eigentlich diesen blöden debugger weg???der treibt mich auf die palme...jedes mal dieses fenster...blabla is null oder was weiß ich....

danke dir

Hallo,
besorge dir killbox und lösche die Datei:
C:\PROGRA~1\USELES~1\LARACR~1.EXE\HLsetup3.exe
on reboot.
(kannst du auch mit dem besagten Film machen.)

Zitat:

den ordner C:\Programme\RXToolBar\
gibt es nicht...

umso besser.

Zitat:

achja da fällt mir noch was ein...wie krieg ich eigentlich diesen blöden debugger weg???der treibt mich auf die palme...jedes mal dieses fenster...blabla is null oder was weiß ich....

Hmm, kannst du mal den genauen Text posten, und zu welchen Ereignissen es erscheint?

Führe noch einen Onlinescan bei Kaspersky durch und poste was gefunden wurde.


Grüße Wildone

also...

hab es gekillt...

irgendwas blockt kaspersky...kann nix installieren..

explorer sicherheitswarnung...wurde geblockt weil herausgeber nicht verifiziert werden kann..

gibts da noch ne andere möglichkeit???

bezüglich des debuggers kann ich keine auskunft geben ...(vorführeffekt) denn jetzt grad nervt er mich nicht...aber der taucht meißt bei scriptfehlern auf...zb auch auf meiner hp...

Hallo,

Zitat:

irgendwas blockt kaspersky...kann nix installieren..

Hast du die activeX Einstellungen entsprechend vorgenommen, bzw. Kaspersky zu den vertrauenswürdigen seiten hinzugefügt?

Zitat:

bezüglich des debuggers kann ich keine auskunft geben ...(vorführeffekt) denn jetzt grad nervt er mich nicht...aber der taucht meißt bei scriptfehlern auf...zb auch auf meiner hp...

Verstehe ich das richtig, du meinst den Debugger beim IE?


Grüße Wildone

blöde frage :

wie mache ich die site zu ner vertrauenswürdigen site???

popups hab ich zugelassen und ich bejahe auch das aktivex zu installieren...die meldung das die software geblockt wurde kommt trotzdem...

ja ich meinte den IE...bei firefox kommt der debugger net...

*grmpfl

Hallo,

Zitat:

wie mache ich die site zu ner vertrauenswürdigen site???

Extras>>Internetoptionen>>Sicherheit>> Vertrauenwürdige Sites anklicken, dann sites dort http://www.kaspersky.com/virusscanner einfügen und bestätigen, funktioniert es dann?

Zitat:

ja ich meinte den IE...bei firefox kommt der debugger net...

Extras>>Internetoptionen>>Erweitert
[x] Scriptdebugging deaktivieren (andere)
[x] Scriptdebugging deaktivieren (IE)
[ ] Scriptfehler anzeigen


Grüße Wildone

sorry es funktioniert trotzdem nicht!


der debugkrempel is done...

und wat machen mer nu???

greez da miez

Hallo,
dann versuchen wir es mit Escan, Anleitung dazu gibt es hier (ist ein wenig komplizierter). Achte besonders darauf wie du das Logfile mit Hilfe der find.bat posten sollst.


Grüße Wildone

also ok hab mit escan das ganze im abgesicherten modus gescannt und das sind die infected daten aus dem MWAV.log:


1. Fri Feb 10 17:39:43 2006 => System found infected with mybar Spyware/Adware ({014da6c9-189f-421a-88cd-07cfe51cff10})! Action taken: No Action Taken.

2. Fri Feb 10 17:39:46 2006 => System found infected with altnet Spyware/Adware (smdat32a.sys)! Action taken: No Action Taken.

3. Fri Feb 10 17:39:52 2006 => System found infected with altnetbde Spyware/Adware (adm.exe)! Action taken: No Action Taken.

4. Fri Feb 10 17:39:52 2006 => System found infected with altnetbde Spyware/Adware (altnet signing module.exe)! Action taken: No Action Taken.

5. Fri Feb 10 17:39:52 2006 => System found infected with altnetbde Spyware/Adware (adm.exe)! Action taken: No Action Taken.

6. Fri Feb 10 17:39:52 2006 => System found infected with altnetbde Spyware/Adware (altnet signing module.exe)! Action taken: No Action Taken.

7. Fri Feb 10 17:39:55 2006 => File C:\!KillBox\HLsetup3.exe.exe infected by "Trojan-Downloader.Win32.Small.bke" Virus! Action Taken: No Action Taken.

8. Fri Feb 10 17:39:56 2006 => Scanning Folder: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\*.*

9. Fri Feb 10 17:39:56 2006 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\44137f47.qua

10. Fri Feb 10 17:39:56 2006 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\4455c334.qua

11. Fri Feb 10 17:39:57 2006 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\445f6db8.qua

12. Fri Feb 10 18:27:35 2006 => File C:\WINDOWS\I386\LOGONUI.EX_ infected by "Trojan.Win32.Agent.on" Virus! Action Taken: No Action Taken.



Fri Feb 10 18:51:39 2006 => ***** Scanning complete. *****

Fri Feb 10 18:51:39 2006 => Total Objects Scanned: 56275
Fri Feb 10 18:51:39 2006 => Total Critical Objects: 38
Fri Feb 10 18:51:39 2006 => Total Disinfected Objects: 0
Fri Feb 10 18:51:39 2006 => Total Objects Renamed: 0
Fri Feb 10 18:51:39 2006 => Total Deleted Objects: 0
Fri Feb 10 18:51:39 2006 => Total Errors: 1
Fri Feb 10 18:51:39 2006 => Time Elapsed: 01:12:31
Fri Feb 10 18:51:39 2006 => Virus Database Date: 2/3/2006
Fri Feb 10 18:51:39 2006 => Virus Database Count: 174583

Fri Feb 10 18:51:39 2006 => Scan Completed.

Fri Feb 10 19:15:31 2006 => Virus Database Date: 2/3/2006
Fri Feb 10 19:15:31 2006 => Virus Database Count: 174583
Fri Feb 10 19:15:36 2006 => AV Library Unloaded (3)...


so und was tu ich jetzt?

greez da miez

btw... 7-12 hab ich durch die killbox geplättet und diesmal auch mauell gelöscht..(ich vollhorst...habs beim letzten mal vergesen....)

was mach ich mit 1-6????

Hallo,
Also zwölf war eigentlich ein Fehlalarm von Escan, sollte aber nicht ganz so schlimm sein wenn du es gelöscht hast. 8-11 Ist nur der Quarantäneordner von AntiVir.
Bei den Funden 1-7 denke ich zwar das es Spyware ist, bin mir aber nicht 100%ig sicher, mache mal eine Gegenprobe mit Ewido (keine Sorge dieses mal ist es ganz einfach zu installieren) und poste den Report.


Grüße Wildone