| |
| |||||||
Log-Analyse und Auswertung: dailywinner.netWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
21.10.2004, 03:52
| #1 |
 |  dailywinner.net hallo, immer wieder taucht dailywinner.net ungefragt und ungewollt auf. einmal fand ich die entsprechenden dateien, konnte sie mittels HijackThis deaktivieren. aber nun taucht die seite denoch wieder auf. unte ist mein log. sieht jemand was auffälliges? oder sonstiges, was nicht dahin gehört. vielen herzlichen dank schon im voraus. viele grüße stoff ----------------------------------------------------------------- Logfile of HijackThis v1.98.2 Scan saved at 10:36:27 PM, on 20/10/2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\System32\RegSrvc.exe C:\WINDOWS\System32\RoamMgr.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\1XConfig.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Apoint2K\Apoint.exe C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE C:\WINDOWS\SOINTGR.EXE C:\WINDOWS\system32\qfqeureg.exe C:\Programme\Apoint2K\Apntex.exe C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\svcmm32.exe C:\WINDOWS\System32\mmp32.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\wisptis.exe C:\Programme\ICQLite\ICQLite.exe C:\Dokumente und Einstellungen\Christoph\Desktop\hijackthis\HijackThis.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\CA\eTrust Antivirus\Realmon.exe C:\PROGRA~1\CA\SHARED~1\SCANEN~1\InoDist.exe C:\Programme\Internet Explorer\iexplore.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [hgmnnysahcqp] C:\WINDOWS\system32\qfqeureg.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [USB controller] "C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\svcmm32.exe" /startup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093796808210 O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab |
|
21.10.2004, 05:36
| #2 |
  | dailywinner.net Hallo Stoff,
__________________downloade bitte die spybotsd131tx.exe und kopiere sie in das bestehende Spybot-Verzeichnis, siehe Anleitung: Spybot-Forschung. Scanne damit Deinen Rechner. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info mit Verweis auf diesen Thread und unter dem Betreff "iesearch-TBOARD" (Forschungszwecke) -> Dankeschön! ====@==== Überprüfe mit dem online-scan von Kaspersky: C:\WINDOWS\System32\RegSrvc.exe C:\WINDOWS\System32\RoamMgr.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\System32\1XConfig.exe C:\WINDOWS\system32\qfqeureg.exe C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\svcmm32.exe C:\WINDOWS\System32\mmp32.exe C:\PROGRA~1\CA\SHARED~1\SCANEN~1\InoDist.exe C:\WINDOWS\SOINTGR.EXE Teile uns das Ergebnis der Überprüfung mit. Sende diese Dateien dann bitte an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck). ====@==== Lade dann bitte den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) SD |
|
21.10.2004, 15:55
| #3 |
| | dailywinner.net Hallo, hier kommt nun mein Bericht.
__________________1. SpyBot -------------------------------------------------------------------------- DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-953906405-1042453114-211311345-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 OnePop: Bibliothek (Datei, nothing done) C:\WINDOWS\system32\print32.dll OnePop: Root class (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_CLASSES_ROOT\InvisiblePop.Invisible OnePop: Root class (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_CLASSES_ROOT\InvisiblePop.Invisible.1 OnePop: Type library (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_CLASSES_ROOT\TypeLib\{DFFE1CCF-E1E8-4470-9962-73277CC2C898} VX2/f: Root class (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_CLASSES_ROOT\MxTargetDll.MxTargetDllObj VX2/f: Root class (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_CLASSES_ROOT\MxTargetDll.MxTargetDllObj.1 VX2/f: Bibliothek (Datei, nothing done) C:\WINDOWS\mxTarget.dll VX2/f: Ausführbare Datei (Datei, nothing done) C:\WINDOWS\preInsMt.exe VX2/f: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_USERS\S-1-5-21-953906405-1042453114-211311345-1006\Software\MxTarget VX2/f: Interface (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_CLASSES_ROOT\Interface\{4534CD6B-59D6-43FD-864B-06A0D843444A} MediaPlex: Verfolgender Cookie (Internet Explorer: Christoph) (Cookie, nothing done) DoubleClick: Verfolgender Cookie (Internet Explorer: Christoph) (Cookie, nothing done) Advertising.com: Verfolgender Cookie (Internet Explorer: Christoph) (Cookie, nothing done) Advertising.com: Verfolgender Cookie (Internet Explorer: Christoph) (Cookie, nothing done) BFast: Verfolgender Cookie (Internet Explorer: Christoph) (Cookie, nothing done) HitsLink: Verfolgender Cookie (Internet Explorer: Christoph) (Cookie, nothing done) ValueClick: Verfolgender Cookie (Internet Explorer: Christoph) (Cookie, nothing done) Avenue A, Inc.: Verfolgender Cookie (Internet Explorer: Christoph) (Cookie, nothing done) --- Spybot - Search & Destroy version: 1.3 .1TX (build: 20040801) --- 2004-05-11 blindman.exe (1.0.0.0) 2004-08-30 SpybotSD.exe (1.3.0.12) 2004-05-11 TeaTimer.exe (1.3.0.12) 2004-06-15 unins000.exe (51.15.0.0) 2004-05-11 Update.exe (1.3.0.0) 2004-05-11 advcheck.dll (1.0.1.0) 2004-05-11 borlndmm.dll (7.0.4.453) 2004-05-11 delphimm.dll (7.0.4.453) 2004-05-11 SDHelper.dll (1.3.0.12) 2004-05-11 Tools.dll (2.0.0.0) 2004-05-11 UnzDll.dll (1.73.1.1) 2004-05-11 ZipDll.dll (1.73.2.0) 2004-08-11 Includes\Cookies.sbi 2004-10-11 Includes\Dialer.sbi 2004-10-14 Includes\Hijackers.sbi 2004-10-07 Includes\Keyloggers.sbi 2004-05-11 Includes\LSP.sbi 2004-10-12 Includes\Malware.sbi 2004-10-05 Includes\Revision.sbi 2004-09-16 Includes\Security.sbi 2004-10-12 Includes\Spybots.sbi 2004-08-30 Includes\Tracks.uti 2004-10-11 Includes\Trojans.sbi ========================================================= 2. Kaspersky -------------------------------------------------------------------------- a. nicht im abgesicherten Modus -------------------------------------------------------------------------- Zu überprüfende Datei: fdsfds.zip fdsfds.zip Archive: ZIP fdsfds.zip/RegSrvc.exe Ok fdsfds.zip/RoamMgr.exe Ok fdsfds.zip/ZCfgSvc.exe Ok fdsfds.zip/1XConfig.exe Ok fdsfds.zip/svcmm32.exe Ok fdsfds.zip/mmp32.exe Ok fdsfds.zip/sointgr.exe Ok fdsfds.zip/Inodist.exe Ok fdsfds.zip Ok Statistiken: Bekannte Viren: 101882 Updated: 21-10-2004 Größe der Datei (Kb): 478 Viren-Korpus: 0 Datei: 10 Warnungen: 0 Archive: 1 Verdächtigt: 0 ========================================================= ========================================================= Eine Datei, qfqeureg.exe, konnte ich nicht überprüfen, da sie unter den laufenden Prozessen aufgeführt ist. Daher ließ ich den Test nocheinmal im abgesicherten Modus laufen. -------------------------------------------------------------------------- b. im abgesicherten Modus -------------------------------------------------------------------------- Zu überprüfende Datei: fdsfds.zip fdsfds.zip Archive: ZIP fdsfds.zip/RegSrvc.exe Ok fdsfds.zip/RoamMgr.exe Ok fdsfds.zip/ZCfgSvc.exe Ok fdsfds.zip/1XConfig.exe Ok fdsfds.zip/svcmm32.exe Ok fdsfds.zip/mmp32.exe Ok fdsfds.zip/sointgr.exe Ok fdsfds.zip/Inodist.exe Ok fdsfds.zip/qfqeureg.exe Infiziert: TrojanDownloader.Win32.Agent.ae Statistiken: Bekannte Viren: 101883 Updated: 21-10-2004 Größe der Datei (Kb): 517 Viren-Korpus: 1 Datei: 10 Warnungen: 0 Archive: 1 Verdächtigt: 0 ================================================================================================================== eScan-Bericht folgt in der nächsten Mitteiung. Das war's. Hoffentlich habe ich nichts vergessen oder falsch gemacht. |
|
21.10.2004, 15:56
| #4 |
| | dailywinner.net 3. eScan Thu Oct 21 02:36:07 2004 => File C:\WINDOWS\system32\qfqeureg.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken. Thu Oct 21 02:36:19 2004 => File C:\WINDOWS\phg16189.exe infected by "TrojanDownloader.Win32.Agent.ab" Virus. Action Taken: No Action Taken. Thu Oct 21 02:36:19 2004 => File C:\WINDOWS\polmx.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken. Thu Oct 21 02:36:19 2004 => File C:\WINDOWS\polmx3.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken. Thu Oct 21 02:36:21 2004 => File C:\WINDOWS\webhdll.dll_tobedeleted infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Oct 21 02:37:02 2004 => File C:\WINDOWS\system32\mmview_101.dll infected by "TrojanDownloader.Win32.Agent.cu" Virus. Action Taken: No Action Taken. Thu Oct 21 02:37:20 2004 => File C:\WINDOWS\system32\qfqeureg.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken. Thu Oct 21 02:46:06 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\180ax.exe infected by "not-a-virus:AdvWare.180Solutions" Virus. Action Taken: No Action Taken. Thu Oct 21 02:46:06 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\180axhook.dll infected by "not-a-virus:AdvWare.180Solutions" Virus. Action Taken: No Action Taken. Thu Oct 21 02:46:07 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\64.exe\64.exe infected by "not-a-virus:AdvWare.FlashTrack.b" Virus. Action Taken: No Action Taken. Thu Oct 21 02:46:07 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\73.exe\73.exe infected by "not-a-virus:AdvWare.Broadcap.a" Virus. Action Taken: No Action Taken. Thu Oct 21 02:46:07 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\alchem.cab infected by "TrojanDownloader.Win32.Alchemic" Virus. Action Taken: No Action Taken. Thu Oct 21 02:46:07 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\alchem.exe infected by "TrojanDownloader.Win32.Alchemic" Virus. Action Taken: No Action Taken. Thu Oct 21 02:46:09 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\bpc_inst_1006.exe infected by "not-a-virus:AdvWare.Broadcap.a" Virus. Action Taken: No Action Taken. Thu Oct 21 02:46:09 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\Del25.tmp infected by "not-a-virus:AdvWare.180Solutions" Virus. Action Taken: No Action Taken. Thu Oct 21 02:46:14 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\nsk38.tmp\new_net.exe infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: No Action Taken. Thu Oct 21 02:46:15 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\nsk38.tmp\webhancer.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Oct 21 02:46:15 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\perfectnavUninstall.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken. Thu Oct 21 02:46:16 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\phg16189.exe infected by "TrojanDownloader.Win32.Agent.ab" Virus. Action Taken: No Action Taken. Thu Oct 21 02:46:16 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\polmx.cab infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken. Thu Oct 21 02:46:16 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\polmx.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken. ted by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken. Thu Oct 21 02:46:19 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\THI5250.tmp\preInsTT.exe infected by "not-a-virus:AdvWare.BiSpy.f" Virus. Action Taken: No Action Taken. Thu Oct 21 02:46:19 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\THI5250.tmp\twaintec.cab infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: No Action Taken. Thu Oct 21 02:46:19 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\THI5250.tmp\twaintec.dll infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: No Action Taken. Thu Oct 21 02:46:19 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\thin.cab infected by "TrojanDownloader.Win32.Agent.ab" Virus. Action Taken: No Action Taken. Thu Oct 21 02:46:20 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\WToolsB.dll infected by "not-a-virus:AdvWare.Wintol.o" Virus. Action Taken: No Action Taken. Thu Oct 21 02:46:21 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\~4E.exe infected by "Trojan.Win32.StartPage.ow" Virus. Action Taken: No Action Taken. Thu Oct 21 02:46:21 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\~51.exe infected by "Trojan.Win32.StartPage.ow" Virus. Action Taken: No Action Taken. Thu Oct 21 02:53:14 2004 => File C:\Program Files\XML\t.bak infected by "not-a-virus:AdvWare.FlashTrack.b" Virus. Action Taken: No Action Taken. Thu Oct 21 02:54:49 2004 => File C:\Programme\Common Files\SearchUpgrader\SearchUpgrader.exe infected by "TrojanDownloader.Win32.Keenval.g" Virus. Action Taken: No Action Taken. Thu Oct 21 03:05:08 2004 => File C:\RECYCLER\S-1-5-21-953906405-1042453114-211311345-1006\Dc3\bcre.exe infected by "not-a-virus:AdvWare.Broadcap.a" Virus. Action Taken: No Action Taken. Thu Oct 21 03:05:09 2004 => File C:\RECYCLER\S-1-5-21-953906405-1042453114-211311345-1006\Dc3\breg.exe infected by "Trojan.Win32.Small.an" Virus. Action Taken: No Action Taken. Thu Oct 21 03:05:09 2004 => File C:\RECYCLER\S-1-5-21-953906405-1042453114-211311345-1006\Dc3\Xcpy1.cfg infected by "not-a-virus:AdvWare.FlashTrack.b" Virus. Action Taken: No Action Taken. Thu Oct 21 03:05:09 2004 => File C:\RECYCLER\S-1-5-21-953906405-1042453114-211311345-1006\Dc5\Webhdll.dll infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Oct 21 03:05:09 2004 => File C:\RECYCLER\S-1-5-21-953906405-1042453114-211311345-1006\Dc5\WhAgent.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Oct 21 03:05:09 2004 => File C:\RECYCLER\S-1-5-21-953906405-1042453114-211311345-1006\Dc5\WhAgent.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Oct 21 03:05:09 2004 => File C:\RECYCLER\S-1-5-21-953906405-1042453114-211311345-1006\Dc5\whiehlpr.dll infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Oct 21 03:05:09 2004 => File C:\RECYCLER\S-1-5-21-953906405-1042453114-211311345-1006\Dc5\whInstaller.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Oct 21 03:05:09 2004 => File C:\RECYCLER\S-1-5-21-953906405-1042453114-211311345-1006\Dc5\WhSurvey.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: No Action Taken. Thu Oct 21 03:29:52 2004 => File C:\WINDOWS\LastGood\phg16189.exe infected by "TrojanDownloader.Win32.Agent.ab" Virus. Action Taken: No Action Taken. Thu Oct 21 03:29:52 2004 => File C:\WINDOWS\LastGood\polmx3.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken. Thu Oct 21 03:30:38 2004 => File C:\WINDOWS\phg16189.exe infected by "TrojanDownloader.Win32.Agent.ab" Virus. Action Taken: No Action Taken. Thu Oct 21 03:30:38 2004 => File C:\WINDOWS\polmx.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken. Thu Oct 21 03:30:38 2004 => File C:\WINDOWS\polmx3.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken. Thu Oct 21 03:37:22 2004 => File C:\WINDOWS\system32\mmview_101.dll infected by "TrojanDownloader.Win32.Agent.cu" Virus. Action Taken: No Action Taken. Thu Oct 21 03:37:51 2004 => File C:\WINDOWS\system32\qfqeureg.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken. Thu Oct 21 03:38:37 2004 => File C:\WINDOWS\Temp\bpc_inst.exe infected by "not-a-virus:AdvWare.Broadcap.a" Virus. Action Taken: No Action Taken. Thu Oct 21 03:38:40 2004 => File C:\WINDOWS\webhdll.dll_tobedeleted infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: No Action Taken. ========================================================= Das war's. Hoffentlich habe ich nichts vergessen oder falsch gemacht. Viele Grüße Stoff |
|
22.10.2004, 06:08
| #5 | |
| | dailywinner.net Hallo Stoff, und hier kommen nun die Anweisungen ;-) Scanne Deinen Rechner nochmal mit "Spybot 1.3.1TX" und lass einige der Probleme damit beheben. Lade Dir dann bitte Ad-Aware 6 Personal runter und scanne damit ebenfalls Deinen Rechner, um Probleme beheben zu lassen. Lade das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf. Diese Malware musst Du von Hand löschen: Zitat:
Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre] Boote in den normalen Modus. Aktiviere die Systemwiederherstellung. Erstelle ein neues Hijack This Logfile und poste es. SD |
|
22.10.2004, 16:31
| #6 |
| | dailywinner.net hallo, ich habe die anweisungen befolgt. hier mein hijack this logfile: Logfile of HijackThis v1.98.2 Scan saved at 11:18:28 AM, on 22/10/2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Opera7\Opera.exe C:\Dokumente und Einstellungen\Christoph\Desktop\virenkram\hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [USB controller] "C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\svcmm32.exe" /startup O4 - HKLM\..\Run: [Twain image] "C:\WINDOWS\System32\mmp32.exe" /startup O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093796808210 O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab ========================================================= Wenn ich den abgesicherten Modus verlassen will, erscheint jedes Mal ein Dialog eines Programmes "Sample", der mich darauf hinweist, daß ein sofortiges Beenden zu Datenverlust führen kann. Als Option habe ich aber nur Sofort beenden der nichts tun. Was ist denn dieses Programm "Sample"? Auch nach den Reinigungsarbeiten tauchte das PopUp "dailywinner.net" auf. Wo versteckst sich das? Viele Grüße Stoff |
|
22.10.2004, 23:34
| #7 |
| | dailywinner.net Hallo, noch ein Zusatz: Immer wieder ändert sich die Startseite des IE zu http://www.microsoft.com/isapi/redir...er=6.0&ar=home Jedes Mal ändere ich das ab auf Leere Seite. Dennoch wird immer wieder oben genannte Seite als Startseite geladen. Warum geschieht das? Wie kann ich das ändern? Viele Grüße Stoff |
|
23.10.2004, 04:10
| #8 |
| | dailywinner.net Hallo Stoff, überprüfe mit dem online-scan von Kaspersky: C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\SOINTGR.EXE C:\WINDOWS\System32\mmp32.exe Teile uns das Ergebnis der Überprüfung mit. Sende diese Datei an partytime-germany.ice@web.de, mit Verweis auf diesen Thread. (Forschungszweck) ===@=== Wiederholung: arbeite zuerst (!) das Tutorial der Spybot-Forschung Punkt für Punkt durch, überprüfe Deinen Computer nochmal mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info, mit dem Betreff "dailywinner.net-TBOARD" und Hinweis auf diesen Thread. (Nicht im Forum posten, da zwecklos!) ===@=== Downloade das Programm SpywareBlaster 3.2 und führe es auf Deinem Rechner aus. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit den Schutz für Deine(n) Browser. Tägliches Updaten online nicht vergessen! Wenn Du Fragen dazu hast, stell sie bitte. ===@=== Lade das Clear Prog runter, leere damit die Ordner TEMP, Temorary Internet Files, Cookies und den Verlauf. ===@=== Teile uns mit, ob der Einsatz der nun verwendeten Programme zu einem Erfolg geführt hat. Lass uns das Ergebnis der Online-Scan-Überprüfung wissen. (Vergiss nicht die Daten/Spybot-Report abzusenden.) Erstelle ein neues Logfile mit Hijack This und poste es. SD |
|
27.10.2004, 23:21
| #9 |
| | dailywinner.net Hallo, hier der virenbericht: --------------------------- Zu überprüfende Datei: check.zip check.zip Archive: ZIP check.zip/ZCfgSvc.exe Ok check.zip/sointgr.exe Ok check.zip/mmp32.exe Ok check.zip Ok Statistiken: Bekannte Viren: 102430 Updated: 28-10-2004 Größe der Datei (Kb): 168 Viren-Korpus: 0 Datei: 5 Warnungen: 0 Archive: 1 Verdächtigt: 0 ---------------------------------------- SpyBot lieferte nur verfolgende cookies. Hijack This ergibt nun folgendes: ----------------------------- Logfile of HijackThis v1.98.2 Scan saved at 6:14:55 PM, on 27/10/2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\System32\RegSrvc.exe C:\WINDOWS\System32\RoamMgr.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\1XConfig.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Apoint2K\Apoint.exe C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE C:\WINDOWS\SOINTGR.EXE C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\svcmm32.exe C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Apoint2K\Apntex.exe C:\WINDOWS\System32\wisptis.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe C:\Programme\Office52\program\soffice.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Dokumente und Einstellungen\Christoph\Desktop\virenkram\hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: Merriam-Webster Collegiate Toolbar - {E9903977-FFCE-4827-A9D7-A325A0F87F18} - C:\WINDOWS\_MWCTB.DLL (file missing) O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [USB controller] "C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\svcmm32.exe" /startup O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093796808210 O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab --------------------------------------------------------- Das wär's. Viele Grüße Stoff |
|
27.10.2004, 23:32
| #10 |
| | dailywinner.net Ob alles ein Erfolg war, kann ich jetzt noch nicht sagen. In einer guten Stunde weiß ich mehr, sofern mich der dailywinner nicht im Stich lässt. Stoff |
|
28.10.2004, 21:12
| #11 |
| | dailywinner.net Hallo, scheinbar waren die Aktionen von Erfolg gekrönt. Popups erschienen bisher nicht mehr. Ich danke dir vielmals Shadowdance. Viele Grüße Stoff |
|
| Themen zu dailywinner.net |
| adobe, antivirus, bho, boot, button, dateien, desktop, einstellungen, etrust antivirus, explorer, herzlichen dank, hijack, hijackthis, internet, internet explorer, messenger, microsoft, programme, seite, software, sun java, system, system32, temp, usb, windows, windows messenger, windows xp |
Linear-Darstellung
