|
Plagegeister aller Art und deren Bekämpfung: Allerlei Viren und Spyware und Gott weiß was nochWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
21.02.2006, 23:12 | #1 |
| Allerlei Viren und Spyware und Gott weiß was noch Hallo, seit einiger Zeit meldet sich mein Telekom-F-Secure, dass ich folgende Sachen auf meinem Computer habe: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GHIJKLMN\23018[1].0TM Infektion: Trojan-Downloader.JS.IstBar.z [bzw .j oder .z] C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OPQRSTUV\OPTN=1[2].0 Infektion: Exploit.HTML.CodeBaseExec Und wenn ich den temporären Ordner lösche, erscheint die Meldung dennoch bald wieder. Sie kommen recht unmotiviert, ich bin zwar im Internet, aber nur auf denke ich vertrauenswürdigen Seiten. Nun ja, ich habe also Ad-Aware und Spybot heruntergeladen und durchlaufen lassen, und die haben beide ein paar andere Sachen gefunden und entfernt. Und nach dem Tip im Forum habe ich das eScan MWAV ausgeführt, und der hat eine ganze Reihe von Sachen gefunden. Alle Scanner scheinen immer andere Sachen zu finden, und Telekoms F-Secure kann die Dateien nur umbenennen, nicht entfernen. Kann mir iregndjemand helfen, mein System wieder sauber zu kriegen? Ich habe die HijackThis und die MWAV Logdatei angehangen. Bei MWAV habe ich nur die Einträge kopiert, bei denen der Ausdruck "No Action taken" bzw "Error" vorhanden war. Danke für Eure Zeit und Hilfe, Johannes. Geändert von JWCompany (04.03.2006 um 13:55 Uhr) |
21.02.2006, 23:35 | #2 |
| Allerlei Viren und Spyware und Gott weiß was noch Der Übersichtlichkeit wegen...
__________________~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue Feb 21 10:33:09 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken. Tue Feb 21 10:33:09 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken. Tue Feb 21 10:33:10 2006 => System found infected with porndialer.win32.creazione.i Porn-Dialer ({9e98e84c-79e1-49c3-82eb-798fcd552efb})! Action taken: No Action Taken. Tue Feb 21 10:33:16 2006 => System found infected with porndialer.win32.creazione.i Porn-Dialer (internazionale_ver4.inf)! Action taken: No Action Taken. Tue Feb 21 10:33:16 2006 => System found infected with porndialer.win32.creazione.i Porn-Dialer (internazionale_ver4.ocx)! Action taken: No Action Taken. Tue Feb 21 10:33:17 2006 => System found infected with roings Spyware/Adware (objsafe.tlb)! Action taken: No Action Taken. Tue Feb 21 10:33:24 2006 => System found infected with clipgenie Spyware/Adware (channels.ini)! Action taken: No Action Taken. Tue Feb 21 10:33:30 2006 => System found infected with downloadplus Spyware/Adware (installer.exe)! Action taken: No Action Taken. Tue Feb 21 10:33:32 2006 => System found infected with clientman Spyware/Adware (disable.dll)! Action taken: No Action Taken. Tue Feb 21 10:33:42 2006 => System found infected with clipgenie Spyware/Adware (channels.ini)! Action taken: No Action Taken. Tue Feb 21 10:33:48 2006 => System found infected with downloadplus Spyware/Adware (installer.exe)! Action taken: No Action Taken. Tue Feb 21 10:33:49 2006 => System found infected with clientman Spyware/Adware (disable.dll)! Action taken: No Action Taken. Tue Feb 21 10:33:31 2006 => Object "gohip Spyware/Adware" found in File System! Action Taken: No Action Taken. Tue Feb 21 10:33:48 2006 => Object "gohip Spyware/Adware" found in File System! Action Taken: No Action Taken. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Tue Feb 21 10:33:16 2006 => Offending file found: C:\WINNT\DOWNLO~1\internazionale_ver4.inf Tue Feb 21 10:33:16 2006 => Offending file found: C:\WINNT\DOWNLO~1\internazionale_ver4.ocx Tue Feb 21 10:33:17 2006 => Offending file found: C:\WINNT\system32\objsafe.tlb Tue Feb 21 10:33:24 2006 => Offending file found: C:\Dokumente und Einstellungen\*** Wilke\Desktop\all users\anwendungsdaten\gtek\gtupdate\aupdate\channels\channels.ini Tue Feb 21 10:33:29 2006 => Offending file found: C:\Dokumente und Einstellungen\*** Wilke\Eigene Dateien\installer.exe Tue Feb 21 10:33:31 2006 => Offending file found: C:\Dokumente und Einstellungen\*** Wilke\Eigene Dateien\nav\external\commonfi\symshare\help\disable.dll Tue Feb 21 10:33:42 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gtek\gtupdate\aupdate\channels\channels.ini Tue Feb 21 10:33:48 2006 => Offending file found: C:\Dokumente und Einstellungen\*** Wilke\Eigene Dateien\installer.exe Tue Feb 21 10:33:49 2006 => Offending file found: C:\Dokumente und Einstellungen\*** Wilke\Eigene Dateien\nav\external\commonfi\symshare\help\disable.dll ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Tue Feb 21 10:23:43 2006 => File C:\WINNT\DOWNLO~1\UERSU_~1.EXE tagged as not-a-virus:.Downloader.Win32.WinFixer.d. No Action Taken. Tue Feb 21 12:23:48 2006 => File C:\WINNT\DOWNLO~1\UERSU_~1.EXE tagged as not-a-virus:.Downloader.Win32.WinFixer.d. No Action Taken. Tue Feb 21 12:52:48 2006 => File C:\DOKUME~1\***~1\LOKALE~1\Temp\ICD1.tmp\UERSU_0001_N68M1402NetInstaller.exe tagged as not-a-virus:.Downloader.Win32.WinFixer.d. No Action Taken. Tue Feb 21 15:08:49 2006 => File C:\Dokumente und Einstellungen\*** Wilke\Lokale Einstellungen\Temp\ICD1.tmp\UERSU_0001_N68M1402NetInstaller.exe tagged as not-a-virus:.Downloader.Win32.WinFixer.d. No Action Taken.~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Tue Feb 21 10:33:30 2006 => Offending Folder found: C:\Dokumente und Einstellungen\*** Wilke\Eigene Dateien\michalek&grittner\autos Tue Feb 21 10:33:48 2006 => Offending Folder found: C:\Dokumente und Einstellungen\*** Wilke\Eigene Dateien\michalek&grittner\autos ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ Logfile of HijackThis v1.99.1 Scan saved at 22:47:25, on 21.02.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\PROGRA~1\PERSON~1\backweb\2581593\Program\SERVIC~1.EXE C:\WINNT\system32\svchost.exe C:\Programme\Personal Security Service\Anti-Virus\fsgk32st.exe C:\Programme\Personal Security Service\Anti-Virus\FSGK32.EXE C:\Programme\Personal Security Service\backweb\2581593\program\fsbwsys.exe C:\Programme\Personal Security Service\Common\FSMA32.EXE C:\Programme\Personal Security Service\Common\FSMB32.EXE C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\Personal Security Service\Common\FCH32.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Personal Security Service\Common\FAMEH32.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Personal Security Service\FWES\Program\fsdfwd.exe C:\Programme\Personal Security Service\Anti-Virus\fssm32.exe C:\Programme\Ahead\InCD\InCD.exe C:\WINNT\system32\hkcmd.exe C:\WINNT\system32\RunDll32.exe C:\WINNT\mk9885.exe C:\Programme\Personal Security Service\Common\FSM32.EXE C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE C:\Programme\Personal Security Service\FSGUI\ispnews.exe C:\Programme\Personal Security Service\backweb\2581593\Program\fspex.exe C:\Programme\avmwlanstick\wlangui.exe C:\WINNT\Downloaded Program Files\UERSU_0001_N68M1402NetInstaller.exe C:\WINNT\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\FRITZ!\FriFax32.exe C:\Programme\FRITZ!\FriFon32.exe C:\Programme\Personal Security Service\Anti-Virus\fsav32.exe C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe C:\WINNT\system32\wuauclt.exe C:\Programme\Personal Security Service\FSGUI\fsguiexe.exe C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe C:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\***~1\LOKALE~1\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [CHotKey] mk9885.exe O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\Personal Security Service\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\Personal Security Service\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\Personal Security Service\FSGUI\FSSW.EXE" /reboot O4 - HKLM\..\Run: [News Service] "C:\Programme\Personal Security Service\FSGUI\ispnews.exe" O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [NI.UERSU_0001_N68M1402] "C:\WINNT\Downloaded Program Files\UERSU_0001_N68M1402NetInstaller.exe" -nag O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe O4 - Global Startup: FRITZ!fon.lnk = C:\Programme\FRITZ!\FriFon32.exe O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} - h**p://advnt01.com/dialer/internazionale_ver4.CAB O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - h**p://h30043.www3.hp.com/aio/en/check/qdiagh.cab?319 O17 - HKLM\System\CCS\Services\Tcpip\..\{BB2AA70D-AB21-4381-9278-B70FDF9549E3}: NameServer = 192.168.120.252,192.168.120.253 O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: T-TeleSec Personal Security Service (BackWeb Client - 2581593) - Unknown owner - C:\PROGRA~1\PERSON~1\backweb\2581593\Program\SERVIC~1.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\Personal Security Service\Anti-Virus\fsgk32st.exe O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\Personal Security Service\backweb\2581593\program\fsbwsys.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\Personal Security Service\FWES\Program\fsdfwd.exe O23 - Service: FSMA - F-Secure Corporation - C:\Programme\Personal Security Service\Common\FSMA32.EXE O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
__________________ |
Themen zu Allerlei Viren und Spyware und Gott weiß was noch |
ad-aware, computer, content.ie5, dateien, einstellungen, error, escan, files, folge, forum, helfen, hijack, hijackthis, infektion, internet, logdatei, meldung, ordner, scanner, seite, spybot, spyware, system, temporäre, träge, viren |