Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: heretofind.de

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 25.08.2004, 14:39   #31
AntiVir
 
heretofind.de - Standard

heretofind.de



Fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=9&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=9&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=9&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=9&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=9&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=9&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=9&q=

und ich glaube noch:
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file) (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN.cab

(Bitte korrigiert mich, falls falsch!)

Stare deinen PC im Safeboot (Abgesicherter Modus) und lasse eSan einmal durchlaufen (http://www.mwti.net/antivirus/free_utilities.asp), vergib eine neue Startseite und poste ein neues log.


Ach und hier noch mein Log von Gestern nach dem eSacn im Safeboot:

Logfile of HijackThis v1.98.2
Scan saved at 15:42:52, on 25.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\LOADSTREET\Background Organizer PRO\Desktop.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Dokumente und Einstellungen\Jan-Udo\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://soundkarte/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Background Organizer PRO.lnk = C:\Programme\LOADSTREET\Background Organizer PRO\Desktop.exe
O4 - Startup: Reboot.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093366622395
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F602D69-1E18-4C2A-91B6-B5F997E21359}: NameServer = 205.188.146.146
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F602D69-1E18-4C2A-91B6-B5F997E21359}: NameServer = 205.188.146.146

ICH BIN FREI... bis jetzt

Alt 25.08.2004, 14:56   #32
denim demon
 
heretofind.de - Standard

heretofind.de



dann lade ich erstmal eScan runter.

bist du dir sicher bei den anderen sachen, oder soll ich noch auf ne zweite meinung dazu warten?

sorry, nich lachen, aber wie starte ich dat ding hier im abgesicherten modus?
__________________


Alt 25.08.2004, 15:17   #33
Shadowdance
 
heretofind.de - Standard

heretofind.de



Hallo Ihr Lieben,

das wird ein bißchen chaotisch hier ... deswegen wollten wir eigentlich gerne, dass jeder einen eigenen Thread aufmacht ... vielleicht alle, die von diesem "heretofind.de" betroffen sind, mit einer Betreff-Zeile, die es erleichtert, diese 'Search-Sorte' eindeutig zu erkennen. Ich schlage vor Nummern zu vergeben: "heretofind.de-1" - "heretofind.de-2" usw.

----------

@ AntiVir - Du hast das Logfile von denim demon bereits bearbeitet.
Ich gebe es trotzdem nochmal in seiner zu fixenden Gesamtheit ein, das ist einfacher.

Also hier zunächst das Logfile von @ denim demon

bitte fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=9&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=9&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#

O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=9&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=9&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=9&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=9&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=9&q=

Wenn diese Einträge nicht bekannt sind, bitte fixen! Es handelt sich um unnötige (unwirksame) Einträge, die entfernt werden können:

O9 - Extra button: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file) (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)

----------

Sind Dir folgende Prozesse bekannt?

C:\WINDOWS\SYSTEM\JUPITCO.EXE
C:\WINDOWS\MSEXPLOREN.EXE
C:\WINDOWS\MBSYNC.EXE

O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\ssvr.exe /i
O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\msexploren.exe /i
O4 - HKLM\..\Run: [SyncManager] C:\WINDOWS\mbsync.exe /i

Sei so nett und überprüfe diese Einträge mit dem Datei-Online-Scan von Kaspersky

----------

C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE

ist Spyware. Bitte fixen und manuell löschen.


[edit] wenn Du den eScan machen willst, folge bitte der Anweisung, die Du findest, wenn Du in meiner Signatur unter "TI Hijacker-Rubrik" nachschaust. Dort findest Du auch einen Link, wie Du in den abgesicherten Modus kommst. [/edit]

[edit]ich habe ein Eintrag übesehen, der gefixt werden muss:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html [/edit]

Lieben Gruss
SD
__________________

Geändert von Shadowdance (25.08.2004 um 15:34 Uhr)

Alt 25.08.2004, 15:33   #34
denim demon
 
heretofind.de - Standard

heretofind.de



und nochmals besten dank!!

ich werd mich mal eben da durchwurschteln!! wird schon klappen..

grüße
denim

Alt 25.08.2004, 15:51   #35
denim demon
 
heretofind.de - Standard

heretofind.de



kaspersky sagt:

Zu überprüfende Datei: JupitCo.exe
JupitCo.exe Ok

Statistiken:
Bekannte Viren: 97330 Updated: 25-08-2004
Größe der Datei (Kb): 29 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0
-----------------------------------------------------
Zu überprüfende Datei: msexploren.exe
msexploren.exe - packed with PE-Pack
msexploren.exe Ok

Statistiken:
Bekannte Viren: 97330 Updated: 25-08-2004
Größe der Datei (Kb): 20 Viren-Korpus: 0
Datei: 2 Warnungen: 0
Archive: 0 Verdächtigt: 0
-----------------------------------------------------
Zu überprüfende Datei: mbsync.exe
mbsync.exe - packed with PE-Pack
mbsync.exe Ok

Statistiken:
Bekannte Viren: 97330 Updated: 25-08-2004
Größe der Datei (Kb): 20 Viren-Korpus: 0
Datei: 2 Warnungen: 0
Archive: 0 Verdächtigt: 0
-----------------------------------------------------
versuche die anderen drei jetz zu finden und lass sie durchchecken..


Alt 25.08.2004, 15:56   #36
Shadowdance
 
heretofind.de - Standard

heretofind.de



und hier die Bearbeitung des Logfiles von AntiVir

unbekannter Prozess bitte mit dem Datei-Online-Scan von Kaspersky prüfen:

C:\Programme\LOADSTREET\Background Organizer PRO\Desktop.exe


Wenn Du diese Seite nicht kennst, sollte sie gefixt werden:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://soundkarte/


Wenn Du IP's oder die Domänen nicht kennst, bitte fixen:

O17 - HKLM\System\CCS\Services\Tcpip\..\{0F602D69-1E18-4C2A-91B6-B5F997E21359}: NameServer = 205.188.146.146
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F602D69-1E18-4C2A-91B6-B5F997E21359}: NameServer = 205.188.146.146


Wenn Du weiter frei bleiben willst und wirklich sicher surfen willst, empfehle ich Dir einen Browserwechsel, siehe dazu die Hinweise in meiner Signatur unter TI Hijacker-Rubrik ---> Vorbeugung. Desweiteren ist es wichtig das Betriebssystem und alle Programme auf dem aktuellen Stand zu halten, das heisst alle Patches und Updates aufzuspielen. Nähere Angaben dazu findest Du ebenfalls in den Hinweisen in meiner Signatur.

Lieben Gruss
SD

Alt 25.08.2004, 15:57   #37
denim demon
 
heretofind.de - Standard

heretofind.de



sorry, aber wie gesagt: computer-idiot!

finde die dinger nicht:
O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\ssvr.exe /i
O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\msexploren.exe /i
O4 - HKLM\..\Run: [SyncManager] C:\WINDOWS\mbsync.exe /i

???

Alt 25.08.2004, 16:47   #38
denim demon
 
heretofind.de - Standard

heretofind.de



hey sd!

habe jetzt alles gefixt, was du gesagt hattest.. nur C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE bekomme ich nicht gelöscht..

werd den kasten jetzt erstmal im abgesicherten modus hochfahren und den eScan machen..

lieben gruß
denim

Alt 25.08.2004, 17:01   #39
Shadowdance
 
heretofind.de - Standard

heretofind.de



@ denim demon

bist Du noch im HiJackThis-Programm? Ich meine hast Du es noch aufstehen, auf Deinem Computer? Was heisst, Du findest diese Einträge nicht:

O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\ssvr.exe /i
O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\msexploren.exe /i
O4 - HKLM\..\Run: [SyncManager] C:\WINDOWS\mbsync.exe /i

Ich habe nachgeschaut, sie sind in Deinem Logfile vorhanden, also solltest Du sie eigentlich finden. Du musst ja nur ein Häkchen setzen und sie fixen. Aber wenn Dir das nicht gelingt, dann erstelle einfach nochmal ein neues Logfile und poste es hier. HiJackThis hast Du Dir ja runtergeladen.

Paff, ein Fachmann auf dem Gebiet der Internet-Sicherheit empfiehlt in einem anderen Thread hier an Board alle Dateien mit HijackThis im abgesicherten Modus zu fixen. Mach das bitte. Vielleicht ist es Dir dann auch möglich diesen Eintrag zu löschen: C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE

Aber vielleicht läßt Du erstmal den eScan im abgesicherten Modus offline laufen, das dauert ein Weilchen, ca 1 Stunde. Hast Du den eScan in c:\bases kopiert und online geupdatet? Das ist wichtig!

Bitte auf jeden Fall nach dem eScan eine weiteres Logfile erstellen.

SD

Alt 25.08.2004, 17:25   #40
denim demon
 
heretofind.de - Standard

heretofind.de



@ sd

konnte die drei dateien bloß nicht durch den kaspersky scan durchjagen.

werd jetzt mal deine vorigen anweisungen durchführen und meld mich nachher wieder mit dem logfile.

danke schön!

denim

Alt 25.08.2004, 17:36   #41
Shadowdance
 
heretofind.de - Standard

heretofind.de



@ denim demon

um sie online bei Kaspersky zu scannen, musst Du sie anders eingeben:

C:\WINDOWS\ssvr.exe /i
C:\WINDOWS\msexploren.exe /i
C:\WINDOWS\mbsync.exe /i

denk bitte dran, der eScan MUSS offline und im abgesicherten Modus durchgeführt werden. Lass uns bitte nachher wissen, welche Dateien beim eScan gelöscht bzw. umbenannt wurden.

SD

Alt 25.08.2004, 18:53   #42
denim demon
 
heretofind.de - Standard

heretofind.de



da bin ich wieder..

hab erstmal den eScan durchgeführt, 3 viren gefunden, werd nochmal durchlaufen lassen, da ich nicht mehr sicher bin, ob ich die viren vernichtet hab, oder nur die logfile angelegt hab.
oder was meinst du??

C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE konnte ich im abgesicherten modus löschen!!!

habe dann HijackThis gestartet und
O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\msexploren.exe /i
O4 - HKLM\..\Run: [SyncManager] C:\WINDOWS\mbsync.exe /i
gelöscht!

O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\ssvr.exe /i war auf einmal nicht auffindbar... (???)

wie von dir befohlen alles im abgesicherten modus durchgeführt.


hier nochmal die logfile vom hiJackthis:

Logfile of HijackThis v1.98.2
Scan saved at 19:37:08, on 25.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ACROBAT READER\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [USB SECURITY DEVICE CoInstaller] JupitCo.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: WinZip Quick Pick.lnk = D:\WinZip\WZQKPICK.EXE
O4 - Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Startup: Encoder Agent.lnk = C:\Programme\Windows Media Components\Encoder\WMENCAGT.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN.cab

Alt 25.08.2004, 19:07   #43
VooVoo
 
heretofind.de - Standard

heretofind.de



Ich glaub ich hab den Virus gekillt. Bin zwar nicht 100 Prozent sicher aber sehr optimistisch.
Ok ich sag euch mal am besten wie ich es gemacht habe.
Ich hab als Betriebssystem übrigens Windows 2000 Pro Servicepack 2.

Bevor ihr weiter lesen tut, noch ein kleiner Tipp für die die nicht so viel PC Erfahrung haben. Öffnet mal ein Windowsfenster und klickt auf Extras/Ordneroptionen/Ansicht. Dann in dem weißen Auswahlfenster auf die Option: alle Datein anzeigen (bei versteckte Datein und Ordner). Und den Haken raus bei der Option Dateinamenerweiterung von bekannten Dateitypen ausblenden.

Ok, zur eigentlichen Sache: (Zwischen der ganzen nun folgenden Opperation bitte keinen Neustart machen)

Zuerst besorgt ihr euch alle die folgenden Programme und installiert diese erst alle: (erst scannen oder updaten wenn die alle installiert sind)

- Mozilla Firefox (erstmal als Browser damit die Internetverbindung gesichert ist)
- HiJackThis.exe
- eScan <-- nach c:\bases entpacken, danach zuerst die c:\bases\kavupd.exe starten zum updaten, und dann erst das Progamm über die c:\bases\mwavscan.com starten und jetzt alles scannen
- Spybot <-- einfach installieren und starten und dann scannen. Nach dem Scan das Systm noch zusätzlich immunisieren.
- irgendeine Firewall

Also, die Programme sind nun installiert:

1. Zuerst startet ihr HiJackThis.exe und scannt euer System.
Alle verdächtigen Einträge die auf irgendwelche heretofind.com Links deuten entfernt ihr. Zusätich entfernt ihr alle Einträge die etwas mit BUTTON, MENUITEM, ITEM, TOOLS, TOOLBAR etc. zu tun haben. Außerdem entfernt ihr alle Einträge die die Worte REAL oder COREL beinhalten und alle Einträge wo nichts hinter steht oder NO FILE.
Die 04 Einträge sollten eigentlich sauber sein auch wenn sie vielleicht verdächtig aussehen. Der Virus scheint keine der mit HijackThis angezeigten exe Dateien zu nutzen.

2. Wenn ihr die Einträge mit HijackThis gefixt habt, dann geht ihr auf eure Festplatte auf Laufwerk C:\
Schaut nach ob ihr einen Ordner C:\spe\ habt. Den könnt ihr sofort löschen. Löscht ihn auch gleich aus dem Papierkorb.

3. Nun das Programm eScan durchlaufen lassen. (update müßt ihr vorher gemacht haben) Denkt daran im Programm einzustellen das es euer gesammtes System scannt inklusive Registry.

4. Jetzt Spybot starten und auch scannen. Alle gefundenen Viren etc. löschen.
4.1. Mit Spybot das System immunisieren. Da gibts so nen extra Funktion in dem Programm.

5. Jetzt öffnet ihr die mit dem Befehl regedit (Start/ausführen/regedit)die Registry.
Sucht hier nach folgenden Begriffen: - p2pnetwork und adm20.adm20 oder adm45.adm45 oder änlichen seltsamen adm Werten. Wenn ihr solche Schlüssel oder Werte in der Registry findet könnt ihr die löschen. Es kann sein das die neu erzeugt werden. Da bin ich mir nicht ganz sicher. Trotzdem zu Sicherheit löschen.

6. Jetzt sucht ihr nach auf eurem Computer nach einer Datei die in etwa so heißt oder änlich benannt ist:

_unin_ .exe

Und die auch löschen.

7. Alle Ordner auf eurem Computer, die Temp, Verlauf, Cookies, Anwendungsdaten oder ähnliches haben müßt ihr manuell säubern. Ebenso alle Cookies und Offline Dateien löschen usw.
Viel Spaß beim suchen ^^
Denn Papierkorb immer sofort lehren.

8. Für AOL User: Die Datei WAOL.exe löschen. Ich glaube die wird infiziert. Die AOL ordner manuell von eurem System löschen. Nicht über deinstallieren. Speichert euch eure Favoriten vorher irgendwo ab. Auch hier wieder sofort den Papierkorb lehren.

9. AOL einfach neu installieren. Macht ne Benutzerdefinierte installation. Ihr müßt aufpassen das AOL die Software ins Verzeichnes C:\Programme\AOL 9.0 installiert und nicht vielleicht in ... AOL 9.0a

10. Das müßte es gewesen sein. Es kann eventuell sein das Komponenten des Virus zurückbleiben, aber der Virus sollte dennoch funktionsuntüchtig sein.


Na ja ich hoffe ich konnte damit helfen.


PS: Mit eurer Firewall solltet ihr den IE einfach abwürgen.

Alt 25.08.2004, 19:23   #44
Rene-gad
 
heretofind.de - Standard

heretofind.de



Hallo
Zitat:
Ich glaub ich hab den Virus gekillt. Bin zwar nicht 100 Prozent sicher ....
Das ist eine richtige Einstellung.
Zitat:
Ok ich sag euch mal am besten wie ich es gemacht habe.
Ich hab als Betriebssystem übrigens Windows 2000 Pro Servicepack 2.
Es ist schon sehr beunruhigend. D.h. - du hast keinen SP4 und darauffolgenden Updates. Dein PC ist somit höchst unsicher.
Zitat:
Bevor ihr weiter lesen tut, noch ein kleiner Tipp für die die nicht so viel PC Erfahrung haben. Öffne........Haken raus bei der Option Datein.....bekannten Dateitypen ausblenden.
Sorry für gekürzte Quote. Es gibt auch die Alternativ-Windows-Browser, z.B. www.IdosWin.de, wo dieses Problem gar nicht vorhanden ist.
Zitat:
- Mozilla Firefox (erstmal als Browser damit die Internetverbindung gesichert ist)
ROFL. Seit wann denn sichert einen Browser die Internet-Verbindung?
Zitat:
- HiJackThis.exe
AFAIK bedarf dieses Programm gar keine Installation.
Zitat:
- eScan
Die Anletung zum eScan konntest du verlinken.
Zitat:
- Spybot ....
so, so...
Zitat:
- irgendeine Firewall
Wozu? Kannst du sagen - welche Firewall findest du am besten um warum?
Zitat:
.....blah, blah....
Um jemanden zu belehren muss man mindestens selbst ein bissle Ahnung von der Sache haben. Weil du dein System selbst superunsicher betreibst, tue bitte lieber etwas Gescheiteres, als solche sinnfreie Postings hier zu produzieren.

Alt 25.08.2004, 19:30   #45
VooVoo
 
heretofind.de - Standard

heretofind.de



Geht´s noch?

Ich versuche hier nen paar Leuten nen paar Tipps zu geben. Falls du es noch nicht bemerkt haben solltest, wir wollen alle das Virus loswerden.

Ich hab keine Ahnung ob meine Lösung die Richtige ist. Zumindest ist mein Virus weg. Es wird sicher einige Leute geben die dankbar für ein paar neue Lösungsansätze sind.
Wenn dir das nicht paßt ist das dein Problem.
Du kannst ja gerne was anderes vorschlagen. Aber spar dir bitte irgendwelche Klugscheißersprüche!



Zitat:
Zitat von Rene-gad
Hallo

Das ist eine richtige Einstellung.

Es ist schon sehr beunruhigend. D.h. - du hast keinen SP4 und darauffolgenden Updates. Dein PC ist somit höchst unsicher.

Sorry für gekürzte Quote. Es gibt auch die Alternativ-Windows-Browser, z.B. www.IdosWin.de, wo dieses Problem gar nicht vorhanden ist.

ROFL. Seit wann denn sichert einen Browser die Internet-Verbindung?

AFAIK bedarf dieses Programm gar keine Installation.

Die Anletung zum eScan konntest du verlinken.

so, so...

Wozu? Kannst du sagen - welche Firewall findest du am besten um warum?

Um jemanden zu belehren muss man mindestens selbst ein bissle Ahnung von der Sache haben. Weil du dein System selbst superunsicher betreibst, tue bitte lieber etwas Gescheiteres, als solche sinnfreie Postings hier zu produzieren.

Antwort

Themen zu heretofind.de
.html, 7 viren, adobe, antivirus, askbar, bho, desktop, excel, explorer, fritz!, helper, hijack, hijack this, hijackthis, home, internet, internet explorer, internet security, microsoft, neu, object, programme, registry, security, shockwave, software, spyware, sun java, symantec, system, viren, windows




Zum Thema heretofind.de - Fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=9&q=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=9&q=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# O13 - heretofind.de...
Archiv
Du betrachtest: heretofind.de auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.