dr/180solutions please help me...

albischnalbi · 17.11.2004, 23:06

hi.

ich hab diesen gemeinen dr/180solutions dropper auf meinem rechner. ich hab denk ich mal gecheckt wie ich ihn loswerde. dazu brauch ich aber etwas hilfe von euch. bitte sagt mir was ich aus meiner logdatei fixen muss. das wäre superlieb.

hier mein logfile von hijackthis....

Logfile of HijackThis v1.98.2
Scan saved at 23:02:45, on 17.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Conceptronic\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\IncaPan.Exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\BullsEye Network\bin\bargains.exe
C:\programme\kiwi alpha\partner\saap.exe
C:\PROGRA~1\Save\Save.exe
C:\windows\system32\ossproxy.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ClockSync\Sync.exe
C:\Programme\Conceptronic\Bluetooth Software\BTTray.exe
C:\PROGRA~1\CONCEP~1\BLUETO~1\BTSTAC~1.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\Opera\opera.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\zPIAo\LOKALE~1\Temp\Rar$EX00.500\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Programme\NavExcel\NavHelper\v2.0.4c\NHelper.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IncaPan] IncaPan.Exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [saap] c:\programme\kiwi alpha\partner\saap.exe
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe
O4 - HKLM\..\Run: [OSS] c:\windows\system32\ossproxy.exe -boot
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ClockSync] C:\Programme\ClockSync\Sync.exe /q
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Conceptronic\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Conceptronic\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Conceptronic\Bluetooth Software\btsendto_ie.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D5A97F0-7D10-4BAE-8189-BBA4A4E17C8E}: NameServer = 195.50.140.250 145.253.2.203
O17 - HKLM\System\CS1\Services\Tcpip\..\{0D5A97F0-7D10-4BAE-8189-BBA4A4E17C8E}: NameServer = 195.50.140.250 145.253.2.203

Shadowdance · 17.11.2004, 23:31

Hallo albischnalbi,

Platform: Windows XP (WinNT 5.01.2600)/MSIE: Internet Explorer v6.00 (6.00.2600.0000) - lade Dir bitte das aktuelle Service Pack runter und update Deinen IE: www.windowsupdate.com

Überprüfe mit virusscan.jotti.dhs.org:

C:\WINDOWS\System32\IncaPan.Exe
C:\TempEI4\EI40_\msxml4.cab

teile uns das Ergebnis der Überprüfung mit und sende bitte die Dateien, wenn sie infiziert sind, passwortgeschützt an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread - zu Forschungszwecken - warte bitte das Ergebnis ab.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Programme\NavExcel\NavHelper\v2.0.4c\NHelper.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dllv
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [saap] c:\programme\kiwi alpha\partner\saap.exe
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe
O4 - HKLM\..\Run: [OSS] c:\windows\system32\ossproxy.exe -boot
O4 - HKCU\..\Run: [ClockSync] C:\Programme\ClockSync\Sync.exe /q

wenn Du diesen Eintrag nicht kennst/brauchst, bitte fixen:

O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab

boote in den normalen Modus.

beende:

bargains.exe
saap.exe
Save.exe
ossproxy.exe
Sync.exe

lösche:

C:\Programme\BullsEye Network\bin\bargains.exe
C:\programme\kiwi alpha\partner\saap.exe
C:\PROGRA~1\Save\Save.exe
C:\windows\system32\ossproxy.exe
C:\Programme\ClockSync\Sync.exe

C:\Programme\NavExcel\NavHelper\v2.0.4c\NHelper.dll
C:\WINDOWS\System32\msbe.dll

C:\Programme\BullsEye Network\bin\bargains.exe
c:\programme\kiwi alpha\partner\saap.exe
C:\PROGRA~1\Save\Save.exe
c:\windows\system32\ossproxy.exe -boot

C:\Programme\ClockSync\Sync.exe /q

Aktiviere die Systemwiederherstellung.

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es.

SD

Cidre · 17.11.2004, 23:38

Hi SD,

siehe http://www.trojaner-board.de/showthread.php?t=9746

Shadowdance · 17.11.2004, 23:46

@ Cidre,

da ich momentan beinahe hinter dem Compi einschlafe, hatte ich's erst nach dem posten gesehen ;-)

Danke.

SD

17.11.2004, 23:38	#3
Cidre Administrator, a.D.	dr/180solutions please help me... Hi SD, siehe http://www.trojaner-board.de/showthread.php?t=9746 __________________ __________________

dr/180solutions please help me...

Log-Analyse und Auswertung: dr/180solutions please help me...