Ich hab folgende trojaner oder adware oder was auch immer gefunden!

ballistics · 20.07.2006, 19:30

Spyware Doctor!

ballistics · 20.07.2006, 19:31

Wie bekomme ich die nun weg?

Bin für jede Hilfe danbar!

Ich müsst Spyware Doctor für ca 30 Euro registrieren!

Das ist mir aber zu viel!

Yopie · 20.07.2006, 19:40

Lösche alle temporären Dateien auf deinem Rechner. Nutze dazu das Programm Clearprog.

Dann mach einen eScan genau nach Anleitung (siehe Sig), und poste die Ergebnisse mit Hilfe der find.bat (wie das geht, steht auch in der Anleitung).
Wenn du konkrete Fragen zur Anleitung hast, stelle diese vorher und nicht nach dem Scan.

Gruß

Yopie

ballistics · 20.07.2006, 19:49

das heisst nach dem deaktivieren der Systemwiederherstellung runterfahren und wieder im abgesicherten modus hochfahren, ja?

oder wie kann ich in den abgesicherten modus wechseln?

Yopie · 20.07.2006, 19:55

Zitat:

Zitat von ballistics

das heisst nach dem deaktivieren der Systemwiederherstellung runterfahren und wieder im abgesicherten modus hochfahren, ja?

oder wie kann ich in den abgesicherten modus wechseln?

Ja, der Link in der Anleitung zum BSI erklärt das eigentlich sehr gut, oder?
http://www.bsi.bund.de/av/texte/wiederher_xp.htm

Gruß

Yopie

ballistics · 21.07.2006, 12:31

Ja das hab ich mittlerweile schon rausgefunden sorry!

Ich hab den E-scan durchlaufen lassen! Das dauert allerdings seine Zeit!

Bei über 200000 Objekten die er durchwälzen muss ist das klar!

Ich sende heut Abend die Find.bat!

Bis dann!

Gruß Steve

ballistics · 23.07.2006, 13:48

Wenn ich escan oder dieses MWAV runterlade, habe ich ne exe Datei runtergeladen! Die brauche ich gar nicht erst zu entpacken! Und außerdem entsteht auch kein Ordner der Bases_X heisst!

Wer kann mir weiter helfen?

**Sunny** · 23.07.2006, 13:51

dann hast du die Anleitung nicht richtig gelesen!!!

Du sollst dir nach dem Download der mwav.exe zusätzlich WINRAR installieren! Die MWAV damit öffnen, und in einen Ordner Namens: "Bases_X" entpacken....

Wer lesen kann ist klar im Vorteil...

Gruß
Daniel

ballistics · 23.07.2006, 13:55

Sorry aber ich bin lkeider nicht son freak wie du! Und wusste nicht das man ne exe Datei noch zusaätzlich entpacken kann!

Also immer ruhig bleiben! Wenn ich alles wüsste, dann würde ich erst gar nicht diesen Thread öffnen! Logisch oder?

P.S Ich habe mir den escan thread ausgedruckt und über Nacht unter mein Kopfkissen gelegt!

MfG Steve

**Sunny** · 23.07.2006, 13:59

Zitat:

Zitat von ballistics

P.S Ich habe mir den escan thread ausgedruckt und über Nacht unter mein Kopfkissen gelegt!

Hat ja nicht viel gebracht, oder?

ballistics · 23.07.2006, 17:36

Sun Jul 23 15:14:34 2006 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\list141.exe infected by "Trojan-Downloader.Win32.Centim.cp" Virus! Action Taken: No Action Taken.

Sun Jul 23 17:33:30 2006 => Scanning File H:\CSS neue Version\Counter-Strike Source\CSSnew\Counter-Strike Source\hl2\sound\npc\combine_soldier\vo\infected.wav

Sun Jul 23 17:47:45 2006 => Scanning File H:\Musik\Alben\Placebo\One More With Feeling Singles\CD2\03. Every You Every Me (Infected by the Scourge of the Earth Remix).mp3

Sun Jul 23 17:49:48 2006 => Total Disinfected Objects: 0

Sun Jul 23 17:33:35 2006 => Scanning File H:\CSS neue Version\Counter-Strike Source\CSSnew\Counter-Strike Source\hl2\sound\npc\combine_soldier\vo\wehavenontaggedviromes.wav

Sun Jul 23 17:33:43 2006 => Scanning File H:\CSS neue Version\Counter-Strike Source\CSSnew\Counter-Strike Source\hl2\sound\npc\metropolice\vo\non-taggedviromeshere.wav

Ich hoffe ihr könnt damit was anfangen!

MfG Steve

ballistics · 23.07.2006, 17:44

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Sun Jul 23 15:14:34 2006 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\list141.exe infected by "Trojan-Downloader.Win32.Centim.cp" Virus! Action Taken: No Action Taken.
Sun Jul 23 17:47:45 2006 => Scanning File H:\Musik\Alben\Placebo\One More With Feeling Singles\CD2\03. Every You Every Me (Infected by the Scourge of the Earth Remix).mp3
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Sun Jul 23 17:33:35 2006 => Scanning File H:\CSS neue Version\Counter-Strike Source\CSSnew\Counter-Strike Source\hl2\sound\npc\combine_soldier\vo\wehavenontaggedviromes.wav
Sun Jul 23 17:33:43 2006 => Scanning File H:\CSS neue Version\Counter-Strike Source\CSSnew\Counter-Strike Source\hl2\sound\npc\metropolice\vo\non-taggedviromeshere.wav
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Jul 23 17:49:48 2006 => Total Errors: 80
Sun Jul 23 17:49:48 2006 => Time Elapsed: 02:35:32
Sun Jul 23 17:49:48 2006 => Total Objects Scanned: 124722
Sun Jul 23 15:03:31 2006 => Virus Database Date: 7/19/2006
Sun Jul 23 15:10:36 2006 => Virus Database Date: 7/19/2006
Sun Jul 23 17:49:48 2006 => Virus Database Date: 7/19/2006
Sun Jul 23 18:15:18 2006 => Virus Database Date: 7/19/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

**Sunny** · 23.07.2006, 17:47

Zitat:

Zitat von ballistics

Ich hoffe ihr könnt damit was anfangen!

1.) lade dir folgendes Tool -> cccleaner, starte es und lösche damit alle temporären Ordner. (brauchst nur noch auf "Starte Cleaner" klicken, ist alles schon eingestellt!)

2.) erstelle zusätzlich noch ein Hijacklog, Anleitung in meiner Signatur verlinkt!

Gruß
Daniel

ballistics · 23.07.2006, 17:58

Logfile of HijackThis v1.99.1
Scan saved at 18:55:02, on 23.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\FRITZ!\IWatch.exe
C:\WINDOWS\system\CmSNXeye.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Analyse u. System Updates\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.t-online.de/service/redir/tosw5_internet.htm
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Kommunikation\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Java\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Kommunikation\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LaunchList] D:\Programme\ Pineaccle Studio\LaunchList.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Kommunikation\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Kommunikation\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Kommunikation\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134671699430
O17 - HKLM\System\CCS\Services\Tcpip\..\{193E57E2-7FBF-4630-86DE-1DC74752527D}: NameServer = 217.237.151.33 217.237.149.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{71A43B4D-8C91-4656-93B7-B54B98BCCAD7}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE4CF7EE-554A-4F23-BAEE-DF6BD5F2262D}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{BEDED42B-1E90-4325-A845-66CB87CD4971}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{193E57E2-7FBF-4630-86DE-1DC74752527D}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

MfG Steve!

Danke für die schnellen Antworten!

**Sunny** · 23.07.2006, 18:03

@ballistics,

dein Logfile sieht meiner Ansicht nach clean aus. Kein Anzeichen für eine Infizierung!

Versuche, sofern das der "cccleaner" nicht schon gemacht hat, folgende Datei zu löschen:

Zitat:

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\list141.exe

*Nutze wenn nötig, die Killbox, Haken bei "delete on reboot" und löschen, danach startet der Rechner neu..

Führe danach nochmal einen eScan durch, kannst also gleich in den abgesicherten Modus wechseln und dein System nochmals scannen.

Gruß
Daniel

Ich hab folgende trojaner oder adware oder was auch immer gefunden!

Log-Analyse und Auswertung: Ich hab folgende trojaner oder adware oder was auch immer gefunden!