Kann mir bitte jemand helfen ?

gabme · 28.10.2004, 21:05

Habe AntiVir über meinen PC laufen lassen. Er zeigte mir an
Warnungen 7 Gefunden 2. Letzter Fund: TR/Hijack.MulltiPP.
Infizierte Datein in Archiven können von ihm aber nicht gelöscht oder repariert werden.

Hier ist die Auswertung von dem Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 21:39:40, on 28.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ahead\InCD\InCD.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
D:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\rundll32.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\awdfmsxu.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\Programme\Opera7\Opera.exe
D:\Gabi\Viren usw\HijackThis.exe

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [eZWO] C:\PROGRA~1\Web Offer\wo.exe
O4 - HKCU\..\Run: [zersepvi] C:\WINDOWS\system32\aatqaur.exe k:zersepvi:
O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\system32\awdfmsxu.exe
O4 - HKCU\..\Run: [XPCLEAN] D:\Programme\XPcleanv5\xpclean.exe /s
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096908058593
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{25C360E1-99BD-4026-9A34-0FF1D6D885B8}: NameServer = 217.237.151.97 217.237.150.33

Habe auch eine automatische Auswertung dieses Logfiles machen lassen. Das
sieht ja gar nicht so gut aus. Bin leider kein PC-Profi. Habe versucht diese
Dateien oder wie man sie auch immer nennt zu fixen, funktioniert aber nicht.
Diese bleiben drinnen. Habe auch Spybot Search Destroy 1.3 rüberlaufen
lassen, dieser zeigt mir aber auch nichts an.

Viele Grüße
Gabi

Chuky · 28.10.2004, 21:21

Hi ,
beseitige doch erstmal Newdot net .

Newdot net removal hier

Chuky · 28.10.2004, 21:53

Hi Gabme ,

im abgesicherten Modus
eScan durchführen,allerdings vorher Systemwiederherstellung deaktivieren.

gabme · 30.10.2004, 16:31

Hi Chucky,

seit ich den Newdot beseitigt habe, komme ich nicht mehr ins Internet.
Sitze gerade an einem PC einer Freundin. Hat das ganze etwas mit dem
beseitigen des Newdot zu tun? Ich werde noch wahnsinnig. Opera sagt mir
Hauptidentität (Pop.t-online.de). Der Pop 3 Server ist nicht erreichbar. Liegt
eventuelle in Netzwerkproblem vor?

T-Online zeigt mir zwar die Verbindung an, aber irgendwie kommt keine
Verbindung mit dem Opera zustande. Kann es leider nicht anders
ausdrücken?

Im abgesicherten Modus eScan durchführen. Wie macht man das?
Wie oben schon gesagt, so eine große PC-Leuchte bin ich nun auch wieder nicht.

Was muß ich denn machen, damit ich wieder ins Internet komme. Bin seit
Freitag Abend schon ganz krank.

Viele Grüße
Gabi

30.10.2004, 16:38

LSP reparieren: http://www.cexx.org/lspfix.htm

gabme · 30.10.2004, 16:42

Ich kann doch kein englisch. Kann ich da etwas verkehrt machen?

MountainKing · 30.10.2004, 17:22

Eigentlich nicht, das was rechts steht unter remove solltest du entfernen, dann müsste der Zugang wieder gehen.
Erstelle dann bitte ein neues Logfile.

gabme · 30.10.2004, 17:33

Ich könnt die ganze Welt umarmen. Ich komme wieder ins Internet.
Vielen, vielen Dank für den Tip. Ich könnt die Welt umarmen.

Aber was mache ich jetzt mit den anderen Sachen. Hilft mir da auch noch jemand?

Grüße
Gabi

gabme · 30.10.2004, 17:35

Hier ist das neue Logfile:
Logfile of HijackThis v1.98.2
Scan saved at 18:34:34, on 30.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\ahead\InCD\InCD.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
D:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\Web Offer\wo.exe
C:\WINDOWS\system32\awdfmsxu.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
D:\Gabi\Viren usw\HijackThis.exe

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [eZWO] C:\PROGRA~1\Web Offer\wo.exe
O4 - HKCU\..\Run: [zersepvi] C:\WINDOWS\system32\aatqaur.exe k:zersepvi:
O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\system32\awdfmsxu.exe
O4 - HKCU\..\Run: [XPCLEAN] D:\Programme\XPcleanv5\xpclean.exe /s
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096908058593
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/S.../bin/cabsa.cab

MountainKing · 30.10.2004, 17:51

Schau mal zunächst, ob du Weboffer deinstallieren kannst.

E-Scan herunterladen und updaten:

http://www.trojaner-board.de/42731-escan-anleitung.html

Systemwiederherstellung deaktivieren, in den abgesicherten Modus booten:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm

Schicke: C:\WINDOWS\system32\awdfmsxu.exe bitte mit einem Link zu diesem Thread an: partytime-germany.ice@web.de

Checke die Datei danach hier: http://virusscan.jotti.org/de

Mit HijackThis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):

O4 - HKCU\..\Run: [eZWO] C:\PROGRA~1\Web Offer\wo.exe
O4 - HKCU\..\Run: [zersepvi] C:\WINDOWS\system32\aatqaur.exe k:zersepvi:
O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\system32\awdfmsxu.exe

Lösche die in den Einträgen genannten Dateien, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge.

gabme · 30.10.2004, 17:53

Werde das ganze gleich mal ausprobieren.
Sobald ich es habe, melde ich mich wieder.

gabme · 30.10.2004, 21:12

Weboffer habe ich deinstalliert.

Mit HijackThis habe ich nur das letzte fixen können, die ersten beiden
habe ich nicht (oder nicht mehr gefunden).

Den E-Scan habe ich mir auch runtergeladen und im abgesicherten Modus
rüberlaufen lassen. Sorry ich weiss aber nicht, wie man die gefunden
Dateien kopieren kann. Und das mwav.log ist ja so lange, da sieht man
welche Dateien er alles durchsucht hat. Das kann es ja nicht sein was ich
einstellen soll. Kannst du mir bitte sagen, wie man das macht.

Die Datei C.\windows\system32\awdfmsxu.exe habe ich die angegebene
Mailadresse gesandt, mit dem Link zu diesem Tread.

Anschließend habe ich auch unter virusscan.jotto.dhs.org die
Datei prüfen lassen. Wie ich schon gesagt hae, ich kann nur sehr wenig Englisch. Bis auf NOD 32 und Norman virus control sagten alle anderen no viruses found. Bei NOD 32steht probably unknown NewHeur_PE (probable variant) (3,12 seconds taken). Und bei Norman virus controll steht so viel.
Ich weiss ja nicht was das zu bedeuten hat.

Hier noch mal das neue Logfile

Logfile of HijackThis v1.98.2
Scan saved at 21:50:54, on 30.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ahead\InCD\InCD.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
D:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Programme\Opera7\Opera.exe
D:\Gabi\Viren usw\HijackThis.exe

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [XPCLEAN] D:\Programme\XPcleanv5\xpclean.exe /s
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096908058593
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{25C360E1-99BD-4026-9A34-0FF1D6D885B8}: NameServer = 217.237.151.97 217.237.150.33

Ich kann das ganze leider nicht anders erklären. Sorry

gabme · 30.10.2004, 21:33

SO, jetzt weiss ich wie man kopiert:

Das steht bei Norman virus controll:

Sandbox: W32/Malware; [ General information ]

* File length: 46305 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\caac.exe.
* Deletes file c:\sample.exe.

[ Changes to registry ]
* Creates value "JavaUpdate0.07"="C:\WINDOWS\SYSTEM\caac.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".
* Deletes value "Tsa" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".

[ Network services ]
* Looks for an Internet connection.
* Connects to "218.65.86.24" on port 80 (TCP).

[ Security issues ]
* Possible backdoor functionality [UNKNOWN] port 24678.

[ Process/window information ]
* Enumerates running processes.
* Enumerates running processes several parses....
* Will automatically restart after boot (I'll be back...).
* Attemps to Open C:\COMMAND.COM NULL. (16.63 seconds taken)

gabme · 31.10.2004, 11:51

Kann mir bitte jemand sagen, wie ich die Informationen von eScan angezeigten Schädlinge kopieren kann, damit ich diese hier einstellen kann.

Schon mal Danke im voraus

31.10.2004, 13:40

Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben

30.10.2004, 16:38	#5
Christian Gast	Kann mir bitte jemand helfen ? LSP reparieren: http://www.cexx.org/lspfix.htm

31.10.2004, 13:40	#15
Christian Gast	Kann mir bitte jemand helfen ? Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben

Kann mir bitte jemand helfen ?

Log-Analyse und Auswertung: Kann mir bitte jemand helfen ?