| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Win32:Beagle-LA [Wrm] / HijackerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
19.05.2006, 16:17
| #1 |
| | ![Win32:Beagle-LA [Wrm] / Hijacker - Standard](images/icons/icon1.gif){kind=icon} Win32:Beagle-LA [Wrm] / Hijacker Guten Tag Dies ist mein erstes Posting hier. Habe etwas im Forum gelesen und bin beindruckt wieviel Wissen hier im Forum bzw. bei manchen Usern liegt. Ich habe nun selber ein Problem wo ich nicht weiterkommen: Ich verwende "Avast Antivirus Home Edition". Seit gestern meldet die Software nun nach dem Start von Internet Explorer (bzw. Avant Browser, der aber auf IE basiert): ein Virus wurde gefunden. Datei Name http://www.bronko-m.ru/666.jpg, Typ Win32:Beagle-LA [Wrm] 0620-3, 19.05.2006. Fuer mein bescheidenes Verstaendnis zu diesen Themen sieht es so aus, als ob irgendein Hijacker installiert ist. Obwohl beim Start vom IE als Startseite nach wie vor www.google.ch startet. Ich erlaube mir, hier das Log File vom "Hijack This" zu veroeffentlichen: ------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 16:56:07, on 19.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\AVAST_~1\ashDisp.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\CAP3RSK.EXE C:\Programme\Infinity PasswordSafe\passwordsafe.exe C:\Programme\QuickTime\qttask.exe C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\Programme\Winamp\winampa.exe C:\Programme\Avast_Anti_Virus\aswUpdSv.exe C:\Programme\Avast_Anti_Virus\ashServ.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\TechniSat DVB\bin\Server4PC.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE C:\Programme\TechniSat DVB\bin\Server4PC.exe C:\Programme\MultiPro\MultiPro.exe C:\WINDOWS\$NtUninstallKB905915$\IEXPLORE.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avast_Anti_Virus\ashMaiSv.exe C:\Programme\Avast_Anti_Virus\ashWebSv.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\WISPTIS.EXE C:\Programme\Eudora\Eudora.exe C:\ProgDVB\ProgDVB.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\AvaFind\AvaFind.exe C:\Programme\Avast_Anti_Virus\ashSimpl.exe C:\WINDOWS\system32\drwtsn32.exe C:\WINDOWS\system32\drwtsn32.exe C:\Programme\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe C:\DOKUME~1\Falk\LOKALE~1\Temp\~e5d141.tmp C:\WINDOWS\system32\drwtsn32.exe C:\DOKUME~1\Falk\LOKALE~1\Temp\~e5d141.tmp C:\WINDOWS\system32\drwtsn32.exe C:\Programme\Avant Browser\avant.exe C:\Programme\Spyware Doctor\sdhelp.exe C:\Programme\Spyware Doctor\swdoctor.exe C:\Programme\Adobe\Acrobat 6.0\Acrobat\Acrobat.exe E:\Downloads\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\AVAST_~1\ashDisp.exe O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3ONN.EXE O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [PasswordSafe] C:\Programme\Infinity PasswordSafe\passwordsafe.exe /tray O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe" O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [AvaFind] "C:\Programme\AvaFind\AvaFind.exe" /minimized O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: MultiPro.lnk = C:\Programme\MultiPro\MultiPro.exe O4 - Startup: Sonic CinePlayer Quick Launch.lnk = ? O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Server4PC.lnk = C:\Programme\TechniSat DVB\bin\Server4PC.exe O4 - Global Startup: Statusfenster für Canon LASER SHOT LBP-1120.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{1D6DD317-D743-4449-A908-B11CD6EE9409}: NameServer = 192.168.1.254 O17 - HKLM\System\CCS\Services\Tcpip\..\{52ABF30D-7062-4463-ADA9-DDFF2FC404D9}: NameServer = 192.168.1.254,0.0.0.0 O17 - HKLM\System\CS1\Services\Tcpip\..\{1D6DD317-D743-4449-A908-B11CD6EE9409}: NameServer = 192.168.1.254 O17 - HKLM\System\CS2\Services\Tcpip\..\{1D6DD317-D743-4449-A908-B11CD6EE9409}: NameServer = 192.168.1.254 O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Avast_Anti_Virus\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Avast_Anti_Virus\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Avast_Anti_Virus\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Avast_Anti_Virus\ashWebSv.exe" /service (file missing) O23 - Service: DirectX Service (DirectZesl) - Unknown owner - c:\windows\system32\directx.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe ------------------------------------------------- Wuerde mich freuen von einem Crack hier einen Tip zu bekommen. schoene Gruese aus der Schweiz  Maurizius |
|
19.05.2006, 16:28
| #2 |
| Administrator > Competence Manager  | Win32:Beagle-LA [Wrm] / Hijacker Hallo,
__________________1.lade dir die killbox und suche folgende Dateien: C:\WINDOWS\SYSTEM32\ldr64.dll c:\windows\system32\directx.exe (sofern vorhanden!) Haken bei "delete on reboot", und erst nach der zweiten Datei neu starten! 2.gehe in den abgesicherten Modus und fixe folgende Zeilen: O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll O23 - Service: DirectX Service (DirectZesl) - Unknown owner - c:\windows\system32\directx.exe (file missing) 3.mach einen kompletten eScan nach folgender Anleitung Gruß Daniel
__________________ |
|
19.05.2006, 17:47
| #3 |
| | ![Win32:Beagle-LA [Wrm] / Hijacker - Reden](images/icons/icon10.gif){kind=icon} Win32:Beagle-LA [Wrm] / Hijacker Daniel, besten Dank fuer die Hilfe. Hat sauber geklappt.
__________________Ich hoffe ich kann spaeter hier auch etwas beitragen. Gruss Maurizius |
|
| Themen zu Win32:Beagle-LA [Wrm] / Hijacker |
| adobe, adobe reader, als startseite, antivirus, avast, avast antivirus, avast!, bho, browser, canon, downloader, drivers, druck, eudora, excel, explorer, hijack this, hijackthis, home, internet, internet explorer, log file, monitor, pc tools spyware doctor, photoshop, problem, rundll, server, software, spyware, system, temp, windows, windows xp |
![Win32:Beagle-LA [Wrm] / Hijacker](iconimages/plagegeister-aller-art-deren-bekaempfung/win32-beagle-la-wrm-hijacker_ltr.gif)
Linear-Darstellung
