|
Plagegeister aller Art und deren Bekämpfung: hab problem mit TR/Dldr.Alchemic e-scan s. untenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
05.11.2004, 17:19 | #1 |
| hab problem mit TR/Dldr.Alchemic e-scan s. unten guten tag trojaner fachleute, hab seit ende oktober eine meldung von antivir TR/Dldr.Alchemic und bekomme es nicht weg. auf euer seite hab ich eScan download gemacht und hab nun folgende englische meldungen die mir wenig sagen, könnt ihr mir bitte helfen wie ich nun weiter vorgehen kann/muss um den rechner wieder clean zu haben. dank im voraus für eure hilfe. system w xp mit sp2 anti vir (immer aktuell internetupdate) escan 4.6.2 heute download 5.11.04 ich weiss nicht was ihr sonst noch für daten braucht lasst es mich wissen. eScan von heute File C:\Programme\MySearch\bar\1.bin\S4BAR.DLL tagged as not-a-virus:AdWare.Toolbar.MyWay.f. No Action Taken. File C:\Programme\SuperBar\sbhc.exe tagged as not-a-virus:AdWare.Toolbar.GigatechSuperBar. No Action Taken. File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. File C:\WINDOWS\System32\adllpnt32.dll tagged as not-a-virus:AdWare.Connector. No Action Taken. File C:\Programme\MySearch\bar\1.bin\S4BAR.DLL tagged as not-a-virus:AdWare.Toolbar.MyWay.f. No Action Taken. File C:\WINDOWS\System32\adllpnt32.dll tagged as not-a-virus:AdWare.Connector. No Action Taken. File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. File C:\Programme\SuperBar\sbhc.exe tagged as not-a-virus:AdWare.Toolbar.GigatechSuperBar. No Action Taken. File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. File C:\WINDOWS\MSView.DLL tagged as not-a-virus:AdWare.BiSpy.m. No Action Taken. File C:\WINDOWS\nachrichten.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. File C:\WINDOWS\system32\adllpnt32.dll tagged as not-a-virus:AdWare.Connector. No Action Taken. |
05.11.2004, 17:23 | #2 |
| hab problem mit TR/Dldr.Alchemic e-scan s. unten ich bin es selbst nochmal (sorry bin nicht so erfahren bisher war der rechner sauber)
__________________diese angaben kamen im oberen feld bei eScan Fri Nov 05 16:51:23 2004 => Scanning File C:\WINDOWS\system32\ZoneLabs\vsvault.dll Fri Nov 05 16:51:23 2004 => Scanning File C:\WINDOWS\twain_32\CIS600X\s6e10_nt.dll Fri Nov 05 16:51:23 2004 => Scanning File C:\WINDOWS\twain_32\CIS600X\WATCH.exe Fri Nov 05 16:51:23 2004 => Scanning File C:\WINDOWS\WINIO.dll Fri Nov 05 16:51:23 2004 => Scanning File C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll Fri Nov 05 16:51:23 2004 => Scanning File C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.2180_x-ww_522f9f82\gdiplus.dll Fri Nov 05 16:51:23 2004 => ***** Scanning Registry Files ***** Fri Nov 05 16:51:23 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad Fri Nov 05 16:51:23 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects Fri Nov 05 16:51:23 2004 => ERROR!!! Invalid Entry = C:\WINDOWS\twaintec.dll. Removing it. Fri Nov 05 16:51:24 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Fri Nov 05 16:51:24 2004 => Scanning HKCU\Control Panel\Desktop Fri Nov 05 16:51:24 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Fri Nov 05 16:51:25 2004 => ERROR!!! Invalid Entry AKXHVDNXA = C:\WINDOWS\AKXHVDNXA.exe. Removing it. Fri Nov 05 16:51:25 2004 => ERROR!!! Invalid Entry susp = C:\WINDOWS\susp.exe. Removing it. Fri Nov 05 16:51:25 2004 => ERROR!!! Invalid Entry alchem = C:\WINDOWS\alchem.exe. Removing it. Fri Nov 05 16:51:25 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Fri Nov 05 16:51:25 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx Fri Nov 05 16:51:25 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Fri Nov 05 16:51:25 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Fri Nov 05 16:51:25 2004 => ERROR!!! Invalid Entry AOLMIcon = C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe. Removing it. Fri Nov 05 16:51:25 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Fri Nov 05 16:51:25 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx Fri Nov 05 16:51:25 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Fri Nov 05 16:51:25 2004 => Scanning HKCR\txtfile\shell\open\command Fri Nov 05 16:51:25 2004 => Scanning HKCR\comfile\shell\open\command Fri Nov 05 16:51:25 2004 => Scanning HKCR\exefile\shell\open\command Fri Nov 05 16:51:25 2004 => Scanning HKCR\dllfile\shell\open\command Fri Nov 05 16:51:25 2004 => Scanning HKCR\batfile\shell\open\command Fri Nov 05 16:51:25 2004 => Scanning HKCR\piffile\shell\open\command Fri Nov 05 16:51:25 2004 => Scanning HKCR\scrfile\shell\open\command Fri Nov 05 16:51:25 2004 => Scanning HKCR\scrfile\shell\config\command Fri Nov 05 16:51:25 2004 => Scanning HKCR\regfile\shell\open\command Fri Nov 05 16:51:25 2004 => Scanning HKCR\htmlfile\shell\open\command Fri Nov 05 16:51:25 2004 => Scanning HKCR\htafile\shell\open\command Fri Nov 05 16:51:25 2004 => Scanning HKCR\jsfile\shell\open\command Fri Nov 05 16:51:25 2004 => Scanning HKCR\jsefile\shell\open\command Fri Nov 05 16:51:25 2004 => Scanning HKCR\vbsfile\shell\open\command Fri Nov 05 16:51:25 2004 => Scanning HKCR\vbefile\shell\open\command Fri Nov 05 16:51:25 2004 => Scanning HKCR\wshfile\shell\open\command Fri Nov 05 16:51:25 2004 => Scanning HKCR\wsffile\shell\open\command Fri Nov 05 16:51:25 2004 => ***** Scanning StartUp Folders ***** Fri Nov 05 16:51:25 2004 => ***** Scanning C:\Dokumente und Einstellungen\Hubi\Startmenü\Programme\Autostart Folder ***** Fri Nov 05 16:51:25 2004 => Scanning Folder: C:\Dokumente und Einstellungen\Hubi\Startmenü\Programme\Autostart\*.* Fri Nov 05 16:51:25 2004 => ***** Scanning C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Folder ***** Fri Nov 05 16:51:25 2004 => Scanning Folder: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\*.* Fri Nov 05 16:51:25 2004 => ***** Scanning Service Files ***** Fri Nov 05 16:51:25 2004 => Scanning HKLM\SYSTEM\CurrentControlSet\Services Fri Nov 05 16:51:32 2004 => ERROR!!! Invalid Entry System32\DRIVERS\wanatw4.sys in SYSTEM\CurrentControlSet\Services\wanatw... Fri Nov 05 16:51:33 2004 => ***** Scanning System32 Folders ***** Fri Nov 05 16:51:33 2004 => Scanning C:\WINDOWS Directory Fri Nov 05 16:51:33 2004 => Scanning Folder: C:\WINDOWS\*.* Fri Nov 05 16:51:40 2004 => Scanning C:\WINDOWS\system32 Directory Fri Nov 05 16:51:40 2004 => Scanning Folder: C:\WINDOWS\system32\*.* Fri Nov 05 16:53:07 2004 => ***** Checking for specific ITW Viruses ***** Fri Nov 05 16:53:07 2004 => Checking for Welchia Virus... Fri Nov 05 16:53:07 2004 => Checking for LovGate Virus... Fri Nov 05 16:53:07 2004 => Checking for CodeRed Virus... Fri Nov 05 16:53:07 2004 => Checking for OpaServ Virus... Fri Nov 05 16:53:07 2004 => Checking for Sobig.e Virus... Fri Nov 05 16:53:07 2004 => Checking for Winupie Virus... Fri Nov 05 16:53:07 2004 => Checking for Swen Virus... Fri Nov 05 16:53:07 2004 => Checking for JS.Fortnight Virus... Fri Nov 05 16:53:07 2004 => Checking for Novarg Virus... Fri Nov 05 16:53:07 2004 => Checking for Pagabot Virus... Fri Nov 05 16:53:07 2004 => Checking for Parite.b Virus... Fri Nov 05 16:53:07 2004 => Checking for Parite.a Virus... Fri Nov 05 16:53:07 2004 => ***** Scanning complete. ***** Fri Nov 05 16:53:07 2004 => Total Files Scanned: 2964 Fri Nov 05 16:53:07 2004 => Total Virus(es) Found: 12 Fri Nov 05 16:53:07 2004 => Total Disinfected Files: 0 Fri Nov 05 16:53:07 2004 => Total Files Renamed: 0 Fri Nov 05 16:53:07 2004 => Total Deleted Files: 0 Fri Nov 05 16:53:07 2004 => Total Errors: 6 Fri Nov 05 16:53:07 2004 => Time Elapsed: 00:02:14 Fri Nov 05 16:53:07 2004 => Virus Database Date: 2004/11/03 Fri Nov 05 16:53:07 2004 => Virus Database Count: 108135 Fri Nov 05 16:53:07 2004 => Scan Completed. |
05.11.2004, 17:29 | #3 |
| hab problem mit TR/Dldr.Alchemic e-scan s. unten__________________
__________________ |
05.11.2004, 17:50 | #4 |
| hab problem mit TR/Dldr.Alchemic e-scan s. unten hallo chaosmann, danke das du dich des problems annimmst. ich bekomme folgendes fenster wenn ich HijackThis mit scan ausgeführt hab, wie kann ich dir jetzt daraus log files geben?? meinst du etwa dieses Logfile of HijackThis v1.98.2 Scan saved at 17:53:51, on 05.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\0190WA~1\w0svc.exe C:\WINDOWS\htpatch.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Dit.exe C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\SuperBar\sbhc.exe C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Browser mouse\1.3\mouse32a.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe C:\Palm\HOTSYNC.EXE C:\WINDOWS\twain_32\CIS600X\WATCH.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\DitExp.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\System32\alg.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Hubi\LOKALE~1\Temp\Rar$EX17.094\HijackThis.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Microsoft Works\MSWorks.exe |
05.11.2004, 18:21 | #5 |
| hab problem mit TR/Dldr.Alchemic e-scan s. unten Hi, lade dir mal Ad-Aware SE herunter und laß es laufen. Berichte dann neu; Dein Log von HJT ist soweit o.k. cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
05.11.2004, 19:00 | #6 |
| hab problem mit TR/Dldr.Alchemic e-scan s. unten hallo cacatoa, die quarantäne hat folgenden eintrag reicht das denn die log datei ist ja sonst super gross ArchiveData(auto-quarantine- 2004-11-05 19-00-25.bckp) Referencefile : SE1R17 05.11.2004 ====================================================== IPINSIGHT »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» obj[0]=Process : C:\WINDOWS\System32\ipinsigt.dll obj[1]=Process : C:\WINDOWS\System32\ipinsigt.dll obj[2]=Regkey : clsid\{000004cc-e4ff-4f2c-bc30-dbef0b983bc9} obj[3]=RegValue : clsid\{000004cc-e4ff-4f2c-bc30-dbef0b983bc9} "" obj[4]=Regkey : interface\{297afc77-2039-4d3c-bef9-598819eb2c8a} obj[5]=RegValue : interface\{297afc77-2039-4d3c-bef9-598819eb2c8a} "" obj[6]=Regkey : ipinsigt.ipinsigtobj.1 obj[7]=RegValue : ipinsigt.ipinsigtobj.1 "" obj[8]=Regkey : typelib\{be35582c-9796-4cf1-aed9-556ada120b38} obj[9]=Regkey : software\ipinsight obj[10]=RegValue : software\ipinsight "IdOfInst" obj[11]=RegValue : software\ipinsight "IdOfDist" obj[12]=RegValue : software\ipinsight "InProgCab" obj[13]=RegValue : software\ipinsight "InProgEx" obj[14]=RegValue : software\ipinsight "InProgLstest" obj[15]=RegValue : software\ipinsight "CntrMsgDisp" obj[16]=RegValue : software\ipinsight "CntrEvnt" obj[17]=RegValue : software\ipinsight "CntrTransac" obj[18]=RegValue : software\ipinsight "LastSChckin" obj[19]=RegValue : software\ipinsight "ThrshBath" obj[20]=RegValue : software\ipinsight "ThrshSysInf" obj[21]=RegValue : software\ipinsight "ThrshSCheckIn" obj[22]=RegValue : software\ipinsight "sticky1" obj[23]=RegValue : software\ipinsight "sticky2" obj[24]=RegValue : software\ipinsight "NationCode" obj[25]=RegValue : software\ipinsight "DstSEnd" obj[26]=RegValue : software\ipinsight "DstCHost" obj[27]=RegValue : software\ipinsight "DstCPath" obj[28]=RegValue : software\ipinsight "StatusOfInst" obj[29]=Regkey : software\microsoft\windows\currentversion\explorer\browser helper objects\{000004cc-e4ff-4f2c-bc30-dbef0b983bc9} obj[30]=Regkey : software\microsoft\windows\currentversion\uninstall\ipinsight obj[31]=RegValue : software\microsoft\windows\currentversion\uninstall\ipinsight "DisplayName" obj[32]=RegValue : software\microsoft\windows\currentversion\uninstall\ipinsight "UninstallString" obj[33]=RegValue : Software\Microsoft\Windows\CurrentVersion\SharedDLLs "C:\WINDOWS\System32\ipinsigt.dll" obj[34]=File : C:\WINDOWS\IPINSIGT.DLL obj[35]=File : C:\WINDOWS\system32\ipinsigt.dll |
05.11.2004, 19:14 | #7 |
| hab problem mit TR/Dldr.Alchemic e-scan s. unten So, und jetzt alle Daten in der Quarantäne löschen. Dann lädst Du Dir clear prog runter, machst bei IE alle Häkchen, ebenso bei Windows und läßt es laufen (drückst auf "löschen"). Dann machst Du bitte, auch wenn es nochmal aufwendig ist, einen neuen eScan und postest das neue Ergebnis rein. cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
05.11.2004, 22:09 | #8 |
| hab problem mit TR/Dldr.Alchemic e-scan s. unten hallo cacatoa, riesen dank erst mal an dich mein pc scheint wieder rein zu sein, ich hatte schon angst beim lesen in anderen beiträgen von neu aufstzen oder sowas. danke mein antivir zeigt durchlauf ohne meldung. hast du bitte noch einen tipp was ich besser machen kann, natürlich fliegt kaaza und icq von meinem sohn runter denn die sind doch sicherlich mit verursacher. kann ich die beiden programme HijackThis und aw se einrichten das sie den pc besser als antivir und alarmzone bewachen? wäre schön wenn du noch was an tipps für mich hättest. gruss hubert Geändert von buxus (05.11.2004 um 22:17 Uhr) |
05.11.2004, 22:25 | #9 |
| hab problem mit TR/Dldr.Alchemic e-scan s. unten Hi, buxus, 1. macht nix! 2. Guckst Du hier und hier und etws hier im Forum... HiJackThis ist kein Virenscanner oder Wächter. Es erkennt nur Prozesse und ordnet sie zu, ist somit eine große Hilfe bei der Suche, aber verhindert nichts. AdAware SE in der free-version hat keinen Virenwächter. Natürlich drauflassen, updaten und immer wieder scannen lassen. Du brauchst einen guten Virenscanner mit Wächter (Tipps und Info hier im Forum) und ich würde noch folgendes auf den Rechner packen: Spybot S&D CWShredder und Spywareblaster Damit hast Du für´s Erste genug zu tun! Grüße cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
Themen zu hab problem mit TR/Dldr.Alchemic e-scan s. unten |
antivir, brauch, c:\windows, clean, daten, download, escan, folge, folgende, guten, helfen, heute, interne, internetupdate, meldung, meldungen, mysearch, not-a-virus, oktober, problem, programme, rechner, seite, system32, trojaner, update, windows |