Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Win32:Beagle-LA [Wrm] / Hijacker

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.05.2006, 16:17   #1
Maurizius
 
Win32:Beagle-LA [Wrm] / Hijacker - Standard

Win32:Beagle-LA [Wrm] / Hijacker



Guten Tag

Dies ist mein erstes Posting hier. Habe etwas im Forum gelesen und bin beindruckt wieviel Wissen hier im Forum bzw. bei manchen Usern liegt.

Ich habe nun selber ein Problem wo ich nicht weiterkommen:

Ich verwende "Avast Antivirus Home Edition". Seit gestern meldet die Software nun nach dem Start von Internet Explorer (bzw. Avant Browser, der aber auf IE basiert): ein Virus wurde gefunden. Datei Name http://www.bronko-m.ru/666.jpg, Typ Win32:Beagle-LA [Wrm] 0620-3, 19.05.2006. Fuer mein bescheidenes Verstaendnis zu diesen Themen sieht es so aus, als ob irgendein Hijacker installiert ist. Obwohl beim Start vom IE als Startseite nach wie vor www.google.ch startet.

Ich erlaube mir, hier das Log File vom "Hijack This" zu veroeffentlichen:

-------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 16:56:07, on 19.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVAST_~1\ashDisp.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\CAP3RSK.EXE
C:\Programme\Infinity PasswordSafe\passwordsafe.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Avast_Anti_Virus\aswUpdSv.exe
C:\Programme\Avast_Anti_Virus\ashServ.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\TechniSat DVB\bin\Server4PC.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
C:\Programme\TechniSat DVB\bin\Server4PC.exe
C:\Programme\MultiPro\MultiPro.exe
C:\WINDOWS\$NtUninstallKB905915$\IEXPLORE.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avast_Anti_Virus\ashMaiSv.exe
C:\Programme\Avast_Anti_Virus\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Programme\Eudora\Eudora.exe
C:\ProgDVB\ProgDVB.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\AvaFind\AvaFind.exe
C:\Programme\Avast_Anti_Virus\ashSimpl.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Programme\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe
C:\DOKUME~1\Falk\LOKALE~1\Temp\~e5d141.tmp
C:\WINDOWS\system32\drwtsn32.exe
C:\DOKUME~1\Falk\LOKALE~1\Temp\~e5d141.tmp
C:\WINDOWS\system32\drwtsn32.exe
C:\Programme\Avant Browser\avant.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Adobe\Acrobat 6.0\Acrobat\Acrobat.exe
E:\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\AVAST_~1\ashDisp.exe
O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3ONN.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PasswordSafe] C:\Programme\Infinity PasswordSafe\passwordsafe.exe /tray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [AvaFind] "C:\Programme\AvaFind\AvaFind.exe" /minimized
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: MultiPro.lnk = C:\Programme\MultiPro\MultiPro.exe
O4 - Startup: Sonic CinePlayer Quick Launch.lnk = ?
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Server4PC.lnk = C:\Programme\TechniSat DVB\bin\Server4PC.exe
O4 - Global Startup: Statusfenster für Canon LASER SHOT LBP-1120.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D6DD317-D743-4449-A908-B11CD6EE9409}: NameServer = 192.168.1.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{52ABF30D-7062-4463-ADA9-DDFF2FC404D9}: NameServer = 192.168.1.254,0.0.0.0
O17 - HKLM\System\CS1\Services\Tcpip\..\{1D6DD317-D743-4449-A908-B11CD6EE9409}: NameServer = 192.168.1.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{1D6DD317-D743-4449-A908-B11CD6EE9409}: NameServer = 192.168.1.254
O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Avast_Anti_Virus\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Avast_Anti_Virus\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Avast_Anti_Virus\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Avast_Anti_Virus\ashWebSv.exe" /service (file missing)
O23 - Service: DirectX Service (DirectZesl) - Unknown owner - c:\windows\system32\directx.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe

-------------------------------------------------

Wuerde mich freuen von einem Crack hier einen Tip zu bekommen.

schoene Gruese aus der Schweiz
Maurizius

Alt 19.05.2006, 16:28   #2
Sunny
Administrator
> Competence Manager
 

Win32:Beagle-LA [Wrm] / Hijacker - Standard

Win32:Beagle-LA [Wrm] / Hijacker



Hallo,

1.lade dir die killbox und suche folgende Dateien:
C:\WINDOWS\SYSTEM32\ldr64.dll
c:\windows\system32\directx.exe (sofern vorhanden!)
Haken bei "delete on reboot", und erst nach der zweiten Datei neu starten!

2.gehe in den abgesicherten Modus und fixe folgende Zeilen:
O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll
O23 - Service: DirectX Service (DirectZesl) - Unknown owner - c:\windows\system32\directx.exe (file missing)

3.mach einen kompletten eScan nach folgender Anleitung

Gruß
Daniel
__________________

__________________

Alt 19.05.2006, 17:47   #3
Maurizius
 
Win32:Beagle-LA [Wrm] / Hijacker - Reden

Win32:Beagle-LA [Wrm] / Hijacker



Daniel, besten Dank fuer die Hilfe. Hat sauber geklappt.

Ich hoffe ich kann spaeter hier auch etwas beitragen.

Gruss
Maurizius
__________________

Antwort

Themen zu Win32:Beagle-LA [Wrm] / Hijacker
adobe, adobe reader, als startseite, antivirus, avast, avast antivirus, avast!, bho, browser, canon, downloader, drivers, druck, eudora, excel, explorer, hijack this, hijackthis, home, internet, internet explorer, log file, monitor, pc tools spyware doctor, photoshop, problem, rundll, server, software, spyware, system, temp, windows, windows xp




Ähnliche Themen: Win32:Beagle-LA [Wrm] / Hijacker


  1. Trojaner Win32:Beagle-RI[Trj] aber wie
    Plagegeister aller Art und deren Bekämpfung - 10.02.2011 (9)
  2. Win32/Provis!rts, Win32/Ragterneb.A, Win32/Meredrop, Win32/VB.RC, TrojanDropper:Win32/Bamital.C
    Plagegeister aller Art und deren Bekämpfung - 30.08.2010 (7)
  3. Hijacker deaktivier Taskmanager und Registry-Editor - Hijacker nicht entfernbar
    Plagegeister aller Art und deren Bekämpfung - 17.08.2010 (2)
  4. Beagle Dekontamination
    Plagegeister aller Art und deren Bekämpfung - 22.05.2009 (12)
  5. Beagle Virus
    Plagegeister aller Art und deren Bekämpfung - 23.11.2008 (23)
  6. Win32:Beagle-
    Plagegeister aller Art und deren Bekämpfung - 31.07.2008 (3)
  7. W32.Beagle.lg.A@mm/trojaner.Downloader
    Log-Analyse und Auswertung - 17.03.2008 (6)
  8. Bitte um Hijack-Log Auswertung nach Bagle (Beagle) Angriff
    Log-Analyse und Auswertung - 09.02.2008 (2)
  9. Bagle / Beagle entfernt!
    Plagegeister aller Art und deren Bekämpfung - 30.01.2008 (3)
  10. Beagle/Bagle und widersprüchliche Scanner-Meldungen
    Plagegeister aller Art und deren Bekämpfung - 23.09.2007 (3)
  11. Beagle-KB2 und Virus in edlm2.exe - zu Hülfäää
    Plagegeister aller Art und deren Bekämpfung - 27.04.2006 (8)
  12. Sicherheitsverletzbarkeit vor Beagle Virus ???
    Plagegeister aller Art und deren Bekämpfung - 11.04.2006 (7)
  13. Spyware Beagle Viurs..Internet spielt verrückt
    Plagegeister aller Art und deren Bekämpfung - 11.04.2006 (1)
  14. Hilfe: Meldung vonwegen "Virus beagle" und seite öffnet sich
    Plagegeister aller Art und deren Bekämpfung - 10.04.2006 (10)
  15. Beagle und sonstiges ?
    Log-Analyse und Auswertung - 08.03.2006 (2)
  16. NIS -> Angriffswarnung kein Schutz vor W32.Beagle.AV@mm
    Antiviren-, Firewall- und andere Schutzprogramme - 03.12.2004 (1)
  17. Wurm Beagle in drei neuen Varianten
    Plagegeister aller Art und deren Bekämpfung - 29.10.2004 (4)

Zum Thema Win32:Beagle-LA [Wrm] / Hijacker - Guten Tag Dies ist mein erstes Posting hier. Habe etwas im Forum gelesen und bin beindruckt wieviel Wissen hier im Forum bzw. bei manchen Usern liegt. Ich habe nun selber - Win32:Beagle-LA [Wrm] / Hijacker...
Archiv
Du betrachtest: Win32:Beagle-LA [Wrm] / Hijacker auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.