|
Plagegeister aller Art und deren Bekämpfung: TR/Drop.Small.Ju 2Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
27.09.2004, 21:35 | #1 |
| TR/Drop.Small.Ju 2 Kann mir bitte jemand das auswerten ? Danke. Logfile of HijackThis v1.98.2 Scan saved at 22:02:49, on 27.09.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON GOBACK\GBPOLL.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\MDSETSPW.EXE C:\WINDOWS\STARTER.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\MICROSOFT HARDWARE\GAME CONTROLLERS\COMMON\SWTRAYV4.EXE D:\MOUSE\SYSTEM\EM_EXEC.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\NCLTOOLS\NCLTRAY.EXE D:\PROGRAMME\H+H\CM98.EXE D:\PROGRAMME\H+H\KTREXE.EXE C:\WINDOWS\SYSTEM\QTTASK.EXE C:\WINDOWS\SYSTEM\DKTIME.EXE C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE C:\WINDOWS\SYSTEM\45HMCMCRW3F.EXE C:\WINDOWS\SYSTEM\DKTIME.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON GOBACK\GBTRAY.EXE C:\PROGRAMME\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\SERVICES\SERVICELAYER.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\TEMP\AVGCTRL.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\DKTIME.EXE C:\WINDOWS\TOOLBAR.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=191 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=191 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=191 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\S0ITX2~1.DLL (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [ModemUtility] mdsetspw.exe O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~4\GAMECO~1\COMMON\SWTRAYV4.EXE O4 - HKLM\..\Run: [EM_EXEC] d:\mouse\system\em_exec.exe O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe O4 - HKLM\..\Run: [Start RF Wireless Mouse] D:\Programme\H+H\cm98.exe O4 - HKLM\..\Run: [Start RF Wireless Keyboard] D:\Programme\H+H\ktrexe.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [DKTime] C:\WINDOWS\SYSTEM\dktime.exe O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [GoBack Polling Service] C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe O4 - HKCU\..\Run: [romahere2] C:\WINDOWS\SYSTEM\45HMCMCRW3F.EXE O4 - HKCU\..\Run: [DKTime] C:\WINDOWS\SYSTEM\dktime.exe O4 - HKCU\..\Run: [Ssbu] C:\WINDOWS\Anwendungsdaten\weew.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: Norton GoBack.lnk = C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe O4 - Startup: EPSON Background Monitor.lnk = C:\ESM2\STMS.exe O4 - Startup: Encoder Agent.lnk = C:\Programme\Windows Media Components\Encoder\WMENCAGT.EXE O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O15 - Trusted Zone: *.greg-search.com O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.xxxtoolbar.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab O18 - Filter: text/html - (no CLSID) - (no file) O18 - Filter: text/plain - (no CLSID) - (no file) |
27.09.2004, 21:42 | #2 |
Administrator, a.D. | TR/Drop.Small.Ju 2 Hallo,
__________________Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen. http://www.mwti.net/antivirus/free_utilities.asp Wechsle in den abgesicherten Modus und fixe diese Einträge: R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=191 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=191 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=191 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\S0ITX2~1.DLL (file missing) O4 - HKLM\..\Run: [DKTime] C:\WINDOWS\SYSTEM\dktime.exe O4 - HKCU\..\Run: [romahere2] C:\WINDOWS\SYSTEM\45HMCMCRW3F.EXE O4 - HKCU\..\Run: [DKTime] C:\WINDOWS\SYSTEM\dktime.exe O4 - HKCU\..\Run: [Ssbu] C:\WINDOWS\Anwendungsdaten\weew.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O15 - Trusted Zone: *.greg-search.com O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.xxxtoolbar.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab O18 - Filter: text/html - (no CLSID) - (no file) O18 - Filter: text/plain - (no CLSID) - (no file) Lösche diese Dateien: C:\WINDOWS\SYSTEM\dktime.exe C:\WINDOWS\SYSTEM\45HMCMCRW3F.EXE C:\WINDOWS\SYSTEM\dktime.exe C:\WINDOWS\Anwendungsdaten\weew.exe - mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.) neue Startseite vergeben - Neustart - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html - Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org - neues Log-File von HijackThis und die Virus Log Information von eScan posten
__________________ |
27.09.2004, 21:55 | #3 |
| TR/Drop.Small.Ju 2 Hy
__________________hört sich blöd an , aber wie komme ich in den " abgesicherten Modus" Die kavupd.exe habe ich aus C:\Bases gestartet und läuft im hintergrund. Sorry |
27.09.2004, 21:56 | #4 | |
Administrator, a.D. | TR/Drop.Small.Ju 2Zitat:
|
29.09.2004, 19:48 | #5 |
| TR/Drop.Small.Ju 2 Hallo Vielen Dank erstmal . Habe versucht alles so zu machen wie es beschrieben stand. hat lange gedauert und prima funktioniert. Hier die neue Log-File von HiJackThis Logfile of HijackThis v1.98.2 Scan saved at 20:29:01, on 29.09.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON GOBACK\GBPOLL.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SYMTRAY.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINJECT.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON GHOST\GHOSTSTARTSERVICE.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\MDSETSPW.EXE C:\WINDOWS\STARTER.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\MICROSOFT HARDWARE\GAME CONTROLLERS\COMMON\SWTRAYV4.EXE D:\MOUSE\SYSTEM\EM_EXEC.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\NCLTOOLS\NCLTRAY.EXE D:\PROGRAMME\H+H\CM98.EXE D:\PROGRAMME\H+H\KTREXE.EXE C:\WINDOWS\SYSTEM\QTTASK.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON GHOST\GHOSTSTARTTRAYAPP.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\SERVICES\SERVICELAYER.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON GOBACK\GBTRAY.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINSM32.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\Monwow.exe C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE D:\EIGENE DATEIEN\DOWNLOAD\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [ModemUtility] mdsetspw.exe O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~4\GAMECO~1\COMMON\SWTRAYV4.EXE O4 - HKLM\..\Run: [EM_EXEC] d:\mouse\system\em_exec.exe O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe O4 - HKLM\..\Run: [Start RF Wireless Mouse] D:\Programme\H+H\cm98.exe O4 - HKLM\..\Run: [Start RF Wireless Keyboard] D:\Programme\H+H\ktrexe.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\Nprotect.exe O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [GoBack Polling Service] C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks" O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\Nprotect.exe O4 - HKLM\..\RunServices: [CSINJECT.EXE] C:\Programme\Norton SystemWorks\Norton CleanSweep\csinject.exe O4 - HKLM\..\RunServices: [GhostStartService] C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON GHOST\GHOSTSTARTSERVICE.EXE O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: Norton GoBack.lnk = C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe O4 - Startup: EPSON Background Monitor.lnk = C:\ESM2\STMS.exe O4 - Startup: Encoder Agent.lnk = C:\Programme\Windows Media Components\Encoder\WMENCAGT.EXE O4 - Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = C:\Programme\Norton SystemWorks\Norton CleanSweep\csinsm32.exe O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O18 - Filter: text/html - {200BA262-118B-11D9-8208-CFF00EAFB01E} - C:\WINDOWS\SYSTEM\COKA.DLL O18 - Filter: text/plain - {200BA262-118B-11D9-8208-CFF00EAFB01E} - C:\WINDOWS\SYSTEM\COKA.DLL O20 - AppInit_DLLs: apitrap.dll; eScan: Wed Sep 29 08:06:34 2004 => Total Number of Files Scanned: 45757 Wed Sep 29 08:06:34 2004 => Total Number of Virus(es) Found: 8 Wed Sep 29 08:06:34 2004 => Total Number of Disinfected Files: 0 Wed Sep 29 08:06:34 2004 => Total Number of Files Renamed: 1 Wed Sep 29 08:06:34 2004 => Total Number of Deleted Files: 2 Wed Sep 29 08:06:34 2004 => Total Number of Errors: 0 Wed Sep 29 08:06:34 2004 => Time Elapsed: 01:21:59 Wed Sep 29 08:06:34 2004 => Virus Database Date: 2004/09/08 Wed Sep 29 08:06:34 2004 => Virus Database Count: 103474 Habe aber jetzt das Problem das immerwieder eine DFÜ Verbindung aufgebaut werden soll. Ist da schon wieder was faul ? Gruß F.L. |
29.09.2004, 19:54 | #6 | |
Administrator, a.D. | TR/Drop.Small.Ju 2 Wechsle nochmal in den abgesicherten Modus und fixe diese Einträge: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O18 - Filter: text/html - {200BA262-118B-11D9-8208-CFF00EAFB01E} - C:\WINDOWS\SYSTEM\COKA.DLL O18 - Filter: text/plain - {200BA262-118B-11D9-8208-CFF00EAFB01E} - C:\WINDOWS\SYSTEM\COKA.DLL Lösche diese Datei: C:\WINDOWS\SYSTEM\COKA.DLL Poste nochmal ein neues Log-File. btw: Zitat:
__________________ --> TR/Drop.Small.Ju 2 |
29.09.2004, 20:56 | #7 |
| TR/Drop.Small.Ju 2 Habe alles erledigt. Konnte allerdings C:\WINDOWS\SYSTEM\COKA.DLL nicht finden. Habe alle Unterordner unter C:\WINDOWS\SYSTEM\ einzeln im Explorer durchsucht !! das habe ich im eScab Logfile gefunden. Habe Allerdings heute nacht insgesamt 2 x eScan durchgeführt. Das ist das Ergebnis aus dem 2. scan , was direkt im Anschluß auf das erste durchgeführt wurde . Deleted Wed Sep 29 06:41:06 2004 => File C:\WINDOWS\SYSTEM\COKA.DLL infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: File Deleted Wed Sep 29 06:41:06 2004 => *** Reg Key Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{200BA263-118B-11D9-8208-CFF061E31585} deleted because ImagePath file infected by a Virus Wed Sep 29 07:01:31 2004 => File C:\RECYCLED\NPROTECT\00000224.DLL infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: File Deleted. Wed Sep 29 08:06:34 2004 => Total Number of Deleted Files: 2 -------------------------------------------------------------------------------- Renamed Wed Sep 29 07:20:26 2004 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\Incoming\ AP0.DLL infected by "Backdoor.Agent.ac" Virus. Action Taken: File Renamed. Wed Sep 29 08:06:34 2004 => Total Number of Files Renamed: 1 --------------------------------------------------------------------------------- Die neue Logfile of HijackThis v1.98.2 Scan saved at 21:58:55, on 29.09.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON GOBACK\GBPOLL.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SYMTRAY.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINJECT.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON GHOST\GHOSTSTARTSERVICE.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\MDSETSPW.EXE C:\WINDOWS\STARTER.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\MICROSOFT HARDWARE\GAME CONTROLLERS\COMMON\SWTRAYV4.EXE D:\MOUSE\SYSTEM\EM_EXEC.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\NCLTOOLS\NCLTRAY.EXE D:\PROGRAMME\H+H\CM98.EXE D:\PROGRAMME\H+H\KTREXE.EXE C:\WINDOWS\SYSTEM\QTTASK.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON GHOST\GHOSTSTARTTRAYAPP.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\PASSWORD MANAGER\ACCTMGR.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON GOBACK\GBTRAY.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\SERVICES\SERVICELAYER.EXE C:\PROGRAMME\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINSM32.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\Monwow.exe D:\EIGENE DATEIEN\DOWNLOAD\HIJACKTHIS.EXE O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [ModemUtility] mdsetspw.exe O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~4\GAMECO~1\COMMON\SWTRAYV4.EXE O4 - HKLM\..\Run: [EM_EXEC] d:\mouse\system\em_exec.exe O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe O4 - HKLM\..\Run: [Start RF Wireless Mouse] D:\Programme\H+H\cm98.exe O4 - HKLM\..\Run: [Start RF Wireless Keyboard] D:\Programme\H+H\ktrexe.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\Nprotect.exe O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [GoBack Polling Service] C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks" O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\Nprotect.exe O4 - HKLM\..\RunServices: [CSINJECT.EXE] C:\Programme\Norton SystemWorks\Norton CleanSweep\csinject.exe O4 - HKLM\..\RunServices: [GhostStartService] C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON GHOST\GHOSTSTARTSERVICE.EXE O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: Norton GoBack.lnk = C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe O4 - Startup: EPSON Background Monitor.lnk = C:\ESM2\STMS.exe O4 - Startup: Encoder Agent.lnk = C:\Programme\Windows Media Components\Encoder\WMENCAGT.EXE O4 - Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = C:\Programme\Norton SystemWorks\Norton CleanSweep\csinsm32.exe O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O20 - AppInit_DLLs: apitrap.dll; Danke Ist jetzt alles im grünen Bereich ? |
29.09.2004, 21:16 | #8 | |
Administrator, a.D. | TR/Drop.Small.Ju 2 Das Log-File sieht sauber aus. Zitat:
Dies solltest du noch beherzigen: - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html - Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org Für die Zukunft: http://www.mathematik.uni-marburg.de...ompromise.html |
29.09.2004, 21:24 | #9 |
| TR/Drop.Small.Ju 2 Vielen Dank nochmal Hoffe es bleibt jetzt länger so. Habe mir wieder Norton Security neu installiert. Da war seit längerem das Abo abgelaufen. Hoffe dadurch einwenig schutz zu haben. Hast du Erfahrung mit dem Schutzprogramm ? Gruß F.l. |
29.09.2004, 21:29 | #10 |
Administrator, a.D. | TR/Drop.Small.Ju 2 Lies dir mal die Punkte 5.5 und 5.6 durch: http://www.mathematik.uni-marburg.de...ompromise.html Kaspersky wäre ne gute Wahl oder auch das kostenlose AntiVir. |
Themen zu TR/Drop.Small.Ju 2 |
.pdf, application, auswerten, bho, bla, boot, button, components, dateien, explorer, file missing, google, helper, hijack, hijackthis, internet, internet explorer, microsoft, nvcpl.dll, programme, registry, rundll, rundll32.exe, seite, seiten, software, system, temp, windows, windows\temp, wireless |