|
Log-Analyse und Auswertung: Brauche Hilfe gegen exdl.exe und mqexdlWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
16.11.2004, 13:32 | #1 |
| Brauche Hilfe gegen exdl.exe und mqexdl Hallo Ihr! Ich habe mir die oben genannten Dateien eingefangen, löschen ist kein Problem, aber nach dem Neustart sind die wieder da. Aber was erzähle ich Euch, Ihr wisst es ja.... Kann mir jemand helfen, damit ich den Mist wieder los werde? Vielen Dank Logfile of HijackThis v1.98.2 Scan saved at 13:26:07, on 16.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Symantec\pcAnywhere\awhost32.exe C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINNT\system32\regsvc.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINNT\Mixer.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\ctfmon.exe C:\Programme\FRITZ!\FriFax32.exe C:\Xenia\OServer.exe C:\Programme\SpywareGuard\sgmain.exe C:\Programme\SpywareGuard\sgbhp.exe C:\Xenia\Dll\XenoSpool36.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\IEXPLORE.EXE D:\Download\hjt\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sparkasse-detmold.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [zinit32] C:\WINNT\ZInit32.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Xenia Server.lnk = C:\Xenia\OServer.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://activex.webcam.nl/AxisCamControl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2217B048-BF82-4908-9965-75137C720D10}: NameServer = 217.237.149.161 217.237.151.225 O17 - HKLM\System\CCS\Services\Tcpip\..\{969C0970-7B1D-4F29-9F8B-9EB304247D61}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{2217B048-BF82-4908-9965-75137C720D10}: NameServer = 217.237.149.161 217.237.151.225 |
16.11.2004, 14:19 | #2 |
| Brauche Hilfe gegen exdl.exe und mqexdl Hallo erwo,
__________________überprüfe bitte mit virusscan.jotti.dhs.org: C:\Xenia\OServer.exe C:\Xenia\Dll\XenoSpool36.exe C:\WINNT\ZInit32.exe teile uns das Ergebnis mit und sende die Dateien, die infiziert sind, passwortgeschützt an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread. Boote dann in den VGA Modus und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken), wenn Du diese Einträge nicht kennst/brauchst: O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - h**p://static.topconverting.com/activex/loader2.ocx O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - h**p://activex.webcam.nl/AxisCamControl.cab Boote in den normalen Modus. Prüfe Deinen Rechner mit dem eScan, laut Anleitung, bitte sehr genau durchlesen. Beachte, dass der eScan ca 1 Stunde dauert und ab Version 4.5.1 die gefundene Malware nicht löscht. Das wird manuell gemacht. "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden. SD |
16.11.2004, 20:43 | #3 |
| Brauche Hilfe gegen exdl.exe und mqexdl Hallo, schon mal vielen Dank bis hier hin!!!!
__________________die Dateien Xenia\OServer.exe Xenia\DLL\XenoSpool36.exe Winnt\ZInit32.exe sind nicht befallen und werden gebraucht. (Xeno Data Karlsruhe, Agenda Software) Die beiden anderen Zeilen habe ich mit Hijack This entfernt. Der escan brachte viel Müll hervor: Hier die Zeilen aus der mwav.log Tue Nov 16 19:04:33 2004 => File C:\WINNT\O infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken. Tue Nov 16 19:20:50 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Tue Nov 16 19:20:50 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\ANYZ.EXE.TMP.VIR Tue Nov 16 19:20:50 2004 => File C:\Programme\AVPersonal\INFECTED\ANYZ.EXE.TMP.VIR tagged as not-a-virus:AdWare.180Solutions. No Action Taken. Tue Nov 16 19:20:51 2004 => File C:\Programme\AVPersonal\INFECTED\XSJQHMB.EXE.TMP.VIR tagged as not-a-virus:AdWare.180Solutions. No Action Taken. Tue Nov 16 19:38:59 2004 => File C:\Programme\Norton AntiVirus\Quarantine\1DF1344F.htm infected by "TrojanDropper.VBS.Balala.b" Virus. Action Taken: No Action Taken. Tue Nov 16 19:38:59 2004 => File C:\Programme\Norton AntiVirus\Quarantine\0EAB13A6 tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken. Tue Nov 16 19:38:59 2004 => File C:\Programme\Norton AntiVirus\Quarantine\4359334E infected by "I-Worm.Sober.e" Virus. Action Taken: No Action Taken. Tue Nov 16 19:38:59 2004 => File C:\Programme\Norton AntiVirus\Quarantine\45C741CB infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Tue Nov 16 19:38:59 2004 => File C:\Programme\Norton AntiVirus\Quarantine\527037A0 infected by "Worm.Win32.Lovesan.a" Virus. Action Taken: No Action Taken. Tue Nov 16 19:38:59 2004 => File C:\Programme\Norton AntiVirus\Quarantine\7763233B infected by "TrojanDownloader.Win32.Ladder" Virus. Action Taken: No Action Taken. Tue Nov 16 20:00:20 2004 => C:\WINNT\O possibly infected and removed by background antivirus package! Tue Nov 16 20:00:20 2004 => File C:\WINNT\O infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken. Tue Nov 16 20:05:33 2004 => Total Files Scanned: 80267 Tue Nov 16 20:05:33 2004 => Total Virus(es) Found: 35 Tue Nov 16 20:05:33 2004 => Total Disinfected Files: 0 Tue Nov 16 20:05:33 2004 => Total Files Renamed: 0 Tue Nov 16 20:05:33 2004 => Total Deleted Files: 0 Tue Nov 16 20:05:33 2004 => Total Errors: 90 Tue Nov 16 20:05:33 2004 => Time Elapsed: 01:02:12 Tue Nov 16 20:05:33 2004 => Virus Database Date: 2004/11/16 Tue Nov 16 20:05:33 2004 => Virus Database Count: 109602 Tue Nov 16 20:05:33 2004 => Scan Completed. Hier die Zeilen aus der mwxface.log [msvLclnt.dll] [0x000001ec] 16/11/2004 19:02:45:843 :ModuleName = C:\DOKUME~1\ERHARD~1\LOKALE~1\Temp\mwavscan.com [msvLclnt.dll] [0x000001ec] 16/11/2004 19:02:45:843 :WARNING!!! "Autokey" Not Found [msvLclnt.dll] [0x000001ec] 16/11/2004 19:02:46:828 :Options Set by External applications mwavscan.com are 9896960 (0x970400): [msvLclnt.dll] [0x000001ec] 16/11/2004 19:02:46:828 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN [msvLclnt.dll] [0x000001ec] 16/11/2004 19:02:46:828 :TimeOut : ffffffff [msvLclnt.dll] [0x000001ec] 16/11/2004 19:02:46:828 :Priority : NORMAL [msvLclnt.dll] [0x000001ec] 16/11/2004 19:02:47:234 :VirusCount = 109602 Latest Date = 2004/11/16 [msvLclnt.dll] [0x00000128] 16/11/2004 19:03:49:640 :[00000001] File C:\WINNT\system32\angelex.exe infected by not-a-virus:AdWare.BargainBuddy.n [msvLclnt.dll] [0x00000128] 16/11/2004 19:04:36:109 :[00000001] File C:\WINNT\system32\angelex.exe infected by not-a-virus:AdWare.BargainBuddy.n [msvLclnt.dll] [0x00000128] 16/11/2004 19:05:13:875 :[00000001] File C:\WINNT\system32\exdl.exe infected by not-a-virus:AdWare.BargainBuddy.n [msvLclnt.dll] [0x00000128] 16/11/2004 19:05:14:140 :[00000001] File C:\WINNT\system32\exul.exe infected by not-a-virus:AdWare.BargainBuddy.n [msvLclnt.dll] [0x00000128] 16/11/2004 19:05:14:203 :[00000001] File C:\WINNT\system32\exul1.exe infected by not-a-virus:AdWare.BargainBuddy.n [msvLclnt.dll] [0x00000128] 16/11/2004 19:05:28:062 :[00000001] File C:\WINNT\system32\instsrv.exe infected by not-a-virus:RiskWare.Tool.ServiceRunner.f [msvLclnt.dll] [0x00000128] 16/11/2004 19:05:32:203 :[00000001] File C:\WINNT\system32\javexulm.vxd infected by not-a-virus:AdWare.BargainBuddy.n [msvLclnt.dll] [0x00000128] 16/11/2004 19:05:45:500 :[00000001] File C:\WINNT\system32\mqexdlm.srg infected by not-a-virus:AdWare.BargainBuddy.n [msvLclnt.dll] [0x00000128] 16/11/2004 19:06:01:812 :[00000001] File C:\WINNT\system32\netut80ex.vxd infected by not-a-virus:AdWare.BargainBuddy.n [msvLclnt.dll] [0x00000128] 16/11/2004 19:07:01:156 :[00000001] File C:\DOKUME~1\ERHARD~1\LOKALE~1\Temp\down.cab infected by not-a-virus:AdWare.Wintol.p [msvLclnt.dll] [0x00000128] 16/11/2004 19:07:09:296 :[00000001] File C:\DOKUME~1\ERHARD~1\LOKALE~1\Temp\WToolsB.dll infected by not-a-virus:AdWare.Wintol.p [msvLclnt.dll] [0x00000128] 16/11/2004 19:17:45:015 :[00000001] File C:\Dokumente und Einstellungen\Erhard Wolf\Lokale Einstellungen\Temp\down.cab infected by not-a-virus:AdWare.Wintol.p [msvLclnt.dll] [0x00000128] 16/11/2004 19:17:53:890 :[00000001] File C:\Dokumente und Einstellungen\Erhard Wolf\Lokale Einstellungen\Temp\WToolsB.dll infected by not-a-virus:AdWare.Wintol.p [msvLclnt.dll] [0x00000128] 16/11/2004 19:20:50:953 :[00000001] File C:\Programme\AVPersonal\INFECTED\ANYZ.EXE.TMP.VIR infected by not-a-virus:AdWare.180Solutions [msvLclnt.dll] [0x00000128] 16/11/2004 19:20:51:046 :[00000001] File C:\Programme\AVPersonal\INFECTED\XSJQHMB.EXE.TMP.VIR infected by not-a-virus:AdWare.180Solutions [msvLclnt.dll] [0x00000128] 16/11/2004 19:38:59:359 :[00000001] File C:\Programme\Norton AntiVirus\Quarantine\0EAB13A6 infected by not-a-virus:PornWare.Dialer.ALifeDialer [msvLclnt.dll] [0x00000128] 16/11/2004 19:38:59:437 :[00000001] File C:\Programme\Norton AntiVirus\Quarantine\1DF1344F.htm infected by TrojanDropper.VBS.Balala.b [msvLclnt.dll] [0x00000128] 16/11/2004 19:38:59:609 :[00000001] File C:\Programme\Norton AntiVirus\Quarantine\4359334E infected by I-Worm.Sober.e [msvLclnt.dll] [0x00000128] 16/11/2004 19:38:59:812 :[00000001] File C:\Programme\Norton AntiVirus\Quarantine\45C741CB infected by I-Worm.NetSky.q [msvLclnt.dll] [0x00000128] 16/11/2004 19:38:59:875 :[00000001] File C:\Programme\Norton AntiVirus\Quarantine\527037A0 infected by Worm.Win32.Lovesan.a [msvLclnt.dll] [0x00000128] 16/11/2004 19:38:59:953 :[00000001] File C:\Programme\Norton AntiVirus\Quarantine\7763233B infected by TrojanDownloader.Win32.Ladder [msvLclnt.dll] [0x00000128] 16/11/2004 19:40:52:421 :[00000001] File C:\RECYCLER\S-1-5-21-1993962763-1383384898-839522115-1000\Dc15.exe infected by not-a-virus:AdWare.BargainBuddy.n [msvLclnt.dll] [0x00000128] 16/11/2004 19:40:52:546 :[00000001] File C:\RECYCLER\S-1-5-21-1993962763-1383384898-839522115-1000\Dc16.srg infected by not-a-virus:AdWare.BargainBuddy.n [msvLclnt.dll] [0x00000128] 16/11/2004 19:40:52:734 :[00000001] File C:\RECYCLER\S-1-5-21-1993962763-1383384898-839522115-1000\Dc18.exe infected by not-a-virus:AdWare.BargainBuddy.n [msvLclnt.dll] [0x00000128] 16/11/2004 19:40:52:859 :[00000001] File C:\RECYCLER\S-1-5-21-1993962763-1383384898-839522115-1000\Dc19.srg infected by not-a-virus:AdWare.BargainBuddy.n [msvLclnt.dll] [0x00000128] 16/11/2004 19:54:55:390 :[00000001] File C:\WINNT\system32\angelex.exe infected by not-a-virus:AdWare.BargainBuddy.n [msvLclnt.dll] [0x00000128] 16/11/2004 19:57:42:437 :[00000001] File C:\WINNT\system32\exdl.exe infected by not-a-virus:AdWare.BargainBuddy.n [msvLclnt.dll] [0x00000128] 16/11/2004 19:57:44:078 :[00000001] File C:\WINNT\system32\exul.exe infected by not-a-virus:AdWare.BargainBuddy.n [msvLclnt.dll] [0x00000128] 16/11/2004 19:57:44:187 :[00000001] File C:\WINNT\system32\exul1.exe infected by not-a-virus:AdWare.BargainBuddy.n [msvLclnt.dll] [0x00000128] 16/11/2004 19:57:58:625 :[00000001] File C:\WINNT\system32\instsrv.exe infected by not-a-virus:RiskWare.Tool.ServiceRunner.f [msvLclnt.dll] [0x00000128] 16/11/2004 19:58:02:437 :[00000001] File C:\WINNT\system32\javexulm.vxd infected by not-a-virus:AdWare.BargainBuddy.n [msvLclnt.dll] [0x00000128] 16/11/2004 19:58:17:218 :[00000001] File C:\WINNT\system32\mqexdlm.srg infected by not-a-virus:AdWare.BargainBuddy.n [msvLclnt.dll] [0x00000128] 16/11/2004 19:58:38:000 :[00000001] File C:\WINNT\system32\netut80ex.vxd infected by not-a-virus:AdWare.BargainBuddy.n [msvLclnt.dll] [0x00000128] 16/11/2004 20:05:33:453 :VirusCount = 109602 Latest Date = 2004/11/16 Das sieht nach noch viel Arbeit aus. Bis bald wieder Erhard |
16.11.2004, 23:56 | #4 | |
| Brauche Hilfe gegen exdl.exe und mqexdl Hallo erwo, wenn man weiss wie, ist das garnicht soviel Arbeit: Tue Nov 16 19:04:33 2004 => File C:\WINNT\O infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken. ---> das sagt mir nichts ;-( Einen "BkCln.Unknown" Virus kenne ich nicht und finde ich nicht ... Zitat:
C:\DOKUME~1\ERHARD~1\LOKALE~1\Temp\down.cab infected by not-a-virus:AdWare.Wintol.p C:\DOKUME~1\ERHARD~1\LOKALE~1\Temp\WToolsB.dll infected by not-a-virus:AdWare.Wintol.p C:\Dokumente und Einstellungen\Erhard Wolf\Lokale Einstellungen\Temp\down.cab infected by not-a-virus:AdWare.Wintol.p C:\Dokumente und Einstellungen\Erhard Wolf\Lokale Einstellungen\Temp\WToolsB.dll infected by not-a-virus:AdWare.Wintol.p C:\Programme\AVPersonal\INFECTED\ANYZ.EXE.TMP.VIR infected by not-a-virus:AdWare.180Solutions C:\Programme\AVPersonal\INFECTED\XSJQHMB.EXE.TMP.VIR infected by not-a-virus:AdWare.180Solutions C:\Programme\Norton AntiVirus\Quarantine leeren: C:\Programme\Norton AntiVirus\Quarantine\0EAB13A6 infected by not-a-virus:PornWare.Dialer.ALifeDialer C:\Programme\Norton AntiVirus\Quarantine\1DF1344F.htm infected by TrojanDropper.VBS.Balala.b C:\Programme\Norton AntiVirus\Quarantine\4359334E infected by I-Worm.Sober.e C:\Programme\Norton AntiVirus\Quarantine\45C741CB infected by I-Worm.NetSky.q C:\Programme\Norton AntiVirus\Quarantine\527037A0 infected by Worm.Win32.Lovesan.a C:\Programme\Norton AntiVirus\Quarantine\7763233B infected by TrojanDownloader.Win32.Ladder C:\RECYCLER - leeren: C:\RECYCLER\S-1-5-21-1993962763-1383384898-839522115-1000\Dc15.exe infected by not-a-virus:AdWare.BargainBuddy.n C:\RECYCLER\S-1-5-21-1993962763-1383384898-839522115-1000\Dc16.srg infected by not-a-virus:AdWare.BargainBuddy.n C:\RECYCLER\S-1-5-21-1993962763-1383384898-839522115-1000\Dc18.exe infected by not-a-virus:AdWare.BargainBuddy.n C:\RECYCLER\S-1-5-21-1993962763-1383384898-839522115-1000\Dc19.srg infected by not-a-virus:AdWare.BargainBuddy.n --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre) --> "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen:" (Cidre) C:\WINNT\system32\angelex.exe infected by not-a-virus:AdWare.BargainBuddy.n C:\WINNT\system32\exdl.exe infected by not-a-virus:AdWare.BargainBuddy.n C:\WINNT\system32\exul.exe infected by not-a-virus:AdWare.BargainBuddy.n C:\WINNT\system32\exul1.exe infected by not-a-virus:AdWare.BargainBuddy.n C:\WINNT\system32\instsrv.exe infected by not-a-virus:RiskWare.Tool.ServiceRunner.f C:\WINNT\system32\javexulm.vxd infected by not-a-virus:AdWare.BargainBuddy.n C:\WINNT\system32\mqexdlm.srg infected by not-a-virus:AdWare.BargainBuddy.n C:\WINNT\system32\netut80ex.vxd infected by not-a-virus:AdWare.BargainBuddy.n Einträge unter "not-a-virus:Tool.Win32.Reboot." brauchen nicht gelöscht zu werden. Erstelle ein neues Hijack This Logfile und poste es. SD |
17.11.2004, 10:45 | #5 |
| Brauche Hilfe gegen exdl.exe und mqexdl Hallo und Danke! Ich glaube ich bin alles los. Nach einem Neustart und einem erneuten scan mit escan war nur noch die Meldung C:\winnt\O . Die habe ich dann selbst gelöscht. Nun kommt nur noch die Meldung 85 Errors, da versucht er wohl auf nicht mehr vorhandene Dateien zuzugreifen (vielleicht noch in der Registry?). Was mache ich nun in der Zukunft? Vor knapp zwei Jahren habe ich Norton Anti Virus gekauft, da läuft im Dezember das Abo für die Updates ab. Das Programm fragt schon immer nach einer Verlängerung. AntiVir Guard habe ich aus dem Internet geladen. Dieser hat noch Bedrohungen gefunden, die Norton nicht feststellte. Soll ich damit in Zukunft arbeiten? Soll ich sonst lieber regelmäßig einen escan machen. Spybot S & D nutze ich schon länger. Und hier noch die Log.File Logfile of HijackThis v1.98.2 Scan saved at 10:12:29, on 17.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Symantec\pcAnywhere\awhost32.exe C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINNT\system32\regsvc.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINNT\Mixer.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\ctfmon.exe C:\Programme\FRITZ!\FriFax32.exe C:\Xenia\OServer.exe C:\Xenia\Dll\XenoSpool36.exe C:\Programme\Internet Explorer\IEXPLORE.EXE D:\Download\hjt\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sparkasse-detmold.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [zinit32] C:\WINNT\ZInit32.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\ERHARD~1\LOKALE~1\Temp\mwavscan.com" /s O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Xenia Server.lnk = C:\Xenia\OServer.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html O17 - HKLM\System\CCS\Services\Tcpip\..\{2217B048-BF82-4908-9965-75137C720D10}: NameServer = 217.237.149.161 217.237.151.225 O17 - HKLM\System\CCS\Services\Tcpip\..\{969C0970-7B1D-4F29-9F8B-9EB304247D61}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{2217B048-BF82-4908-9965-75137C720D10}: NameServer = 217.237.149.161 217.237.151.225 Wie kommt es, dass Du Dich so gut auskennst und Deine Zeit nutzt, solchen wir mir zu helfen? Vielen, vielen Dank. Erhard |
17.11.2004, 13:57 | #6 | ||||
| Brauche Hilfe gegen exdl.exe und mqexdl Hallo erwo, bitte überprüfe diese Dateien trotzdem Du sie kennst und brauchst mit virusscan.jotti.dhs.org: C:\WINNT\ZInit32.exe C:\Xenia\Dll\XenoSpool36.exe C:\Xenia\OServer.exe teile uns das Ergebnis der Überprüfung mit und sende bitte diese Dateien, wenn sie infiziert sind, passwortgeschützt an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread - zu Forschungszwecken - warte bitte das Ergebnis ab. Zitat:
Zitat:
Zitat:
Lies Dich hier ein: - IE sicher konfigurieren und Browser-Sicherheit - Einschränktes Benutzerkonto: www.ntsvcfg.de. - www.mathematik.uni-marburg.de Zitat:
Viel Erfolg weiterhin und lieben Gruss Shadowdance |
17.11.2004, 14:18 | #7 |
| Brauche Hilfe gegen exdl.exe und mqexdl Habe alle drei Dateien prüfen lassen, die sind OK und Packer detected: none! Vielen Dank auch für den Rest. Wenn es meine Zeit erlaubt, werde ich mir alle angesprochen Seiten anschauen und somit hoffentlich auch mehr Sicherheit bekommen. Ein großes Lob nochmals. Das trojander-board werde ich bestimmt noch häufiger besuchen, auch wenn nichts aktuell schief gegangen ist. Ich habe nun eine Menge gelernt und es ist bestimmt interessant, mal den ein oder anderen Bericht zu lesen, auch wenn vieles noch unbekannt ist. Viele Grüße Erhard |
Themen zu Brauche Hilfe gegen exdl.exe und mqexdl |
adobe, antivirus, bho, brauche hilfe, dateien, dll, download, excel, explorer, fritz!, google, helfen, hijack, hijackthis, hilfe, internet, internet explorer, löschen, microsoft, neustart, outlook express, problem, programme, security, security center, software, symantec, system, tcpip, windows |