180search assistant

nilssternel · 01.10.2004, 06:24

Logfile of HijackThis v1.97.7
Scan saved at 07:19:23, on 01.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\SYGATE_PERSONAL_FIREWALL\SMC.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\ANTIVIR\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\SPYWAREGUARD\SGMAIN.EXE
C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\SPYWAREGUARD\SGBHP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\HIJACKTHIS_VON_SPYCHECKER_COM\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F1 - win.ini: run=hpfsched
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: (no name) - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\SPYWAREGUARD\DLPROTECT.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\downgeloadede_programme\spybot\SDHelper.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\DOWNGE~1\SYGATE~1\SMC.EXE -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [fcqnwmhkh] C:\WINDOWS\SYSTEM\kclgnew.exe
O4 - HKLM\..\Run: [wdybwj] C:\WINDOWS\wdybwj.exe
O4 - HKLM\..\Run: [CONSCORR] C:\WINDOWS\CONSCORR.exe
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\SYGATE_PERSONAL_FIREWALL\SMC.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: SpywareGuard.lnk = C:\Programme\downgeloadede_programme\spywareguard\sgmain.exe
O4 - Startup: Encoder Agent.lnk.disabled
O4 - Startup: Microsoft Office.lnk.disabled
O4 - Startup: Adobe Gamma Loader.exe.lnk.disabled
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\FLASHGET\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\FLASHGET\FLASHGET\jc_all.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: SideFind (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash/cabs/swflash.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: ConferenceRoom Java Client - http://irc.robgreen.com:8000/java/cr.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...6_download.cab

nilssternel · 01.10.2004, 06:27

habe ein problem mit der o.g. spyware (oder was auch immer 180search assistant ist).

wäre sehr nett, wenn mir jemand helfen kann!

habe spybot und antivir im abgesicherten modus laufen lassen. (übrigens: warum steht überall, dass man "F8" drücken soll?? das geht bei mir nicht (windows 98SE). - was geht ist "strg" während des bootens drücken!

=> also, bin dankbar für hilfe!

nils

chaosman · 01.10.2004, 08:04

@nilssternel

http://www.pestpatrol.com/pest_info/...fassistant.asp
downloade bitte der aktuellen version von HJT
http://www.trojaner-board.de/51130-a...ijackthis.html
un erstelle ein neues log, poste es hier
chaosman

p.s http://www.bsi.de/av/texte/winsave.htm

nilssternel · 01.10.2004, 08:22

Logfile of HijackThis v1.98.2
Scan saved at 09:22:44, on 01.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\SYGATE_PERSONAL_FIREWALL\SMC.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\ANTIVIR\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\SPYWAREGUARD\SGMAIN.EXE
C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\SPYWAREGUARD\SGBHP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\FREENET\FREENET.EXE
C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\HIJACKTHIS_VON_SPYCHECKER_COM\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F1 - win.ini: run=hpfsched
O2 - BHO: SpywareGuardDLBLOCK.CBrowserHelper - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\SPYWAREGUARD\DLPROTECT.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\downgeloadede_programme\spybot\SDHelper.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\DOWNGE~1\SYGATE~1\SMC.EXE -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [fcqnwmhkh] C:\WINDOWS\SYSTEM\kclgnew.exe
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\SYGATE_PERSONAL_FIREWALL\SMC.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: SpywareGuard.lnk = C:\Programme\downgeloadede_programme\spywareguard\sgmain.exe
O4 - Startup: Encoder Agent.lnk.disabled
O4 - Startup: Microsoft Office.lnk.disabled
O4 - Startup: Adobe Gamma Loader.exe.lnk.disabled
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\FLASHGET\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\FLASHGET\FLASHGET\jc_all.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\YAHOO_MESSENGER\MESSENGER\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\YAHOO_MESSENGER\MESSENGER\YPAGER.EXE
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\PROGRAMME\SIDEFIND\SIDEFIND.DLL (file missing)
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: ConferenceRoom Java Client - http://irc.robgreen.com:8000/java/cr.cab

nilssternel · 01.10.2004, 08:27

habe nun schon ca. drei probleme "gefixt" die von der automatischen erkennung (http://www.hijackthis.de/index.php) als eindeutig 'böse' erkannt wurden.

vom rest habe ich erstmal die finger gelassen.

=> wäre super, wenn mir jemand schreiben kann, was ich alles "fixen" sollte.

gruß
nils
p.s.: den inhalt des links http://www.pestpatrol.com/pest_info/...fassistant.asp habe ich nicht bzw. nur in ansätzen verstanden. - damit kann ich nichts anfangen. bin zu sehr "user", zu wenig fachmann... - wäre super, wenn mir jemand hilft.

MountainKing · 01.10.2004, 08:29

Überprüfe bitte

C:\WINDOWS\SYSTEM\kclgnew.exe

hier: http://virusscan.jotti.org/de

nilssternel · 01.10.2004, 08:39

@mountainking:

C:\WINDOWS\SYSTEM\kclgnew.exe gibt es bei mir auf dem rechner nicht, oder nicht mehr (laut explorer / auch suche über explorer).

habe den pfad trotzdem in das tool kopiert. => virusfrei.

=> warum das ding im logfile auftaucht, aber nicht auf meiner platte zu finden ist: keine ahnung.

=> bin dankbar für weitere tipps / auswertung des logfiles.

MountainKing · 01.10.2004, 08:55

Du hats ja was gefixed, poste dann mal bitte ein aktuelles Log.

Im Explorer bitte so einstellen: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

nilssternel · 01.10.2004, 09:02

Logfile of HijackThis v1.98.2
Scan saved at 10:02:20, on 01.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\SYGATE_PERSONAL_FIREWALL\SMC.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\ANTIVIR\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\SPYWAREGUARD\SGMAIN.EXE
C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\SPYWAREGUARD\SGBHP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\FREENET\FREENET.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\HIJACKTHIS_VON_SPYCHECKER_COM\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F1 - win.ini: run=hpfsched
O2 - BHO: SpywareGuardDLBLOCK.CBrowserHelper - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\SPYWAREGUARD\DLPROTECT.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\downgeloadede_programme\spybot\SDHelper.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\DOWNGE~1\SYGATE~1\SMC.EXE -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [fcqnwmhkh] C:\WINDOWS\SYSTEM\kclgnew.exe
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\SYGATE_PERSONAL_FIREWALL\SMC.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: SpywareGuard.lnk = C:\Programme\downgeloadede_programme\spywareguard\sgmain.exe
O4 - Startup: Encoder Agent.lnk.disabled
O4 - Startup: Microsoft Office.lnk.disabled
O4 - Startup: Adobe Gamma Loader.exe.lnk.disabled
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\FLASHGET\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\FLASHGET\FLASHGET\jc_all.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\YAHOO_MESSENGER\MESSENGER\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\DOWNGELOADEDE_PROGRAMME\YAHOO_MESSENGER\MESSENGER\YPAGER.EXE
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\PROGRAMME\SIDEFIND\SIDEFIND.DLL (file missing)
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: ConferenceRoom Java Client - http://irc.robgreen.com:8000/java/cr.cab

nilssternel · 01.10.2004, 09:06

das aktuelle logfile = unten.

bei meinem explorer ist "alle dateien anzeigen" eingestellt.

=> die datei taucht immernoch bei HijackThis auf, aber nicht im explorer.

wie auch immer: bitte um aussage, welche der probleme ich fixen sollte.

das file ist auf jeden fall jetzt von 10:02 uhr. - aktueller geht es nicht... (ist allerdings, soweit ich das erkenne, das selbe wie das letzte davor)

MountainKing · 01.10.2004, 09:20

Naja, es ist sowieso mit 99%iger Wahrscheinlichkeit ein Schädling, zur Not häbe es ja noch die Backup-Funktion von HJT. Also raus damit.

Besorge dir E-Scan und update wie beschrieben:

http://www.trojaner-board.de/42731-escan-anleitung.html

Fixe:

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} -
(no file)
O4 - HKLM\..\Run: [fcqnwmhkh] C:\WINDOWS\SYSTEM\kclgnew.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} -
C:\PROGRAMME\SIDEFIND\SIDEFIND.DLL (file missing)

starte in den abgesicherten Modus und lass E-Scan durchlaufen. Falls er noch was findet bitte die Namen der Schädlinge posten.

nilssternel · 01.10.2004, 12:08

virus log information (aus "escan"):

"total number of virus[es] found:13
---------------------------------------------
Fri Oct 01 13:01:05 2004 => Virus Database Count: 104798

Fri Oct 01 13:01:05 2004 => Scan Completed.

---------------------------------------------
File C:\WINDOWS\SYSTEM\winhot32.dll tagged as not-a-virus:AdvWare.Toolbar.HotSearchBar.a. No Action Taken.
File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\WINDOWS\LOCALNRD.DLL tagged as not-a-virus:AdvWare.BiSpy.n. No Action Taken.
File C:\WINDOWS\PREINSLN.EXE tagged as not-a-virus:AdvWare.BiSpy.o. No Action Taken.
File C:\Programme\downgeloadede_programme\antivir\INFECTED\ISTSVC.VIR infected by "TrojanDownloader.Win32.IstBar.fr" Virus. Action Taken: File Deleted.
File C:\Programme\downgeloadede_programme\antivir\INFECTED\OPTIMIZE.VIR infected by "TrojanDownloader.Win32.Dyfuca.da" Virus. Action Taken: File Deleted.
File C:\Programme\downgeloadede_programme\antivir\INFECTED\ACTALERT.VIR infected by "TrojanDownloader.Win32.Dyfuca.cr" Virus. Action Taken: File Deleted.
File C:\Programme\downgeloadede_programme\antivir\INFECTED\SAIS.VIR tagged as not-a-virus:AdvWare.180Solutions. No Action Taken.
File C:\Programme\downgeloadede_programme\antivir\INFECTED\KCLGNEW.VIR infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: File Deleted.
File C:\Programme\downgeloadede_programme\flashget\fgf150.exe tagged as not-a-virus:AdvWare.Cydoor. No Action Taken.
File C:\Programme\downgeloadede_programme\hijackthis_von_spychecker_com\backup-20040715-153934-482.dll tagged as not-a-virus:AdvWare.Toolbar.HotSearchBar.a. No Action Taken.
File C:\Programme\downgeloadede_programme\hijackthis_von_spychecker_com\backup-20040715-153935-579.dll tagged as not-a-virus:AdvWare.Toolbar.HotSearchBar.a. No Action Taken.
File C:\Programme\180Solutions\saishook.dll tagged as not-a-virus:AdvWare.180Solutions. No Action Taken.
--------------------------------------------
[ende]

nilssternel · 01.10.2004, 12:10

unten = der bericht aus dem gerade heruntergeladenen "escan".

wenn ich das richtig verstehe, zerstört "escan" nicht, sondern findet 'nur' sachen?

=> wie zerstöre ich das zeugs nun?

gruß
nils

Cidre · 01.10.2004, 12:36

Indem du sie, im abgesicherten Modus, manuell löscht.

nilssternel · 01.10.2004, 13:10

Zitat:

Zitat von Cidre

Indem du sie, im abgesicherten Modus, manuell löscht.

hallo cidre,
klingt soweit gut. aber wie geht das?? - einfach im abgesicherten modus starten, über den explorer "suchen" und "entfernen" drücken?? (+danach paierkorb leeren) - oder muss ich irgendwas 'besonderes' machen?

=> und, frage: was bedeutet "Action Taken: File Deleted." ? heisst das, "escan" hat die datei schon zerstört? bzw. auch, was heisst "No Action Taken." - bedeutet das A) es ist ein virus/schädling, aber er hat noch keinen schaden angerichtet? - oder B) es ist ein virus, aber "escan" hat noch keine 'action' vorgenommen.

danke schonmal an cidre und mountainking!! ich glaube, mit eurer hilfe, kriege ich meinen rechner noch von dem zeugs befreit...!

nils

01.10.2004, 12:36	#14
Cidre Administrator, a.D.	180search assistant Indem du sie, im abgesicherten Modus, manuell löscht. __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

180search assistant

Log-Analyse und Auswertung: 180search assistant