wer kann helfen, nur "böse" Dinge auf meinem Rechner
Hallo @ all,
habe mir eine extrem hartnäckige Toolbar eingefangen und einen bösen xxl-viewer. Dieser taucht auch nach dem Löschen immer wieder auf.
Alle meine bescheidenen Versuche, diese Dinger loszuwerden scheiterten.
Hier mein Log:
Logfile of HijackThis v1.98.0
Scan saved at 11:15:41, on 27.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Logfile of HijackThis v1.98.2
Scan saved at 15:28:30, on 27.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Hi, Ulli04,
Dein System ist nicht upgedated, warum?
Die beiden folgenden im abgesicherten Modus mit HiJackThis fixen:
O2 - BHO: Neo Toolbar - {722E8B26-1C44-460F-88BB-50C82B20E30E} - C:\WINDOWS\System32\searchbar2.dll
O3 - Toolbar: Neo Toolbar - {722E8B26-1C44-460F-88BB-50C82B20E30E} - C:\WINDOWS\System32\searchbar2.dll
Die datei: C:\WINDOWS\System32\searchbar2.dll manuell löschen.
Bitte lasse bei Jotti folgendes online scannen:
C:\WINDOWS\System32\tibs3.exe
bitte das Ergebnis posten, ebenso ein neues logfile.
Ulli04
27.11.2004 15:59
Hallo,
irgendwie bekomme ich das update nicht hin, bekomme bei ms immer folgende Meldung:
Windows Update kann nicht fortgesetzt werden, da eine erforderliche Dienstanwendung deaktiviert ist. Für Windows Update sind die folgenden Dienste erforderlich: Automatische Updates - ermöglicht die Erkennung, den Download und die Installation wichtiger Updates für den Computer.
Intelligenter Hintergrundübertragungsdienst (BITS) - ermöglicht einen schnelleren Download von Updates und die Fortsetzung unterbrochener Downloads.
Ereignisprotokoll - protokolliert die Windows Update-Ereignisse zur Problembehandlung. So stellen Sie sicher, dass diese Dienste aktiviert sind
1. Klicken Sie auf Start und dann auf Ausführen.
2. Geben Sie services.msc ein, und klicken Sie auf OK.
3. Klicken Sie in der Liste der Dienste mit der rechten Maustaste auf den entsprechenden Dienstnamen, und klicken Sie dann auf Eigenschaften.
4. Wählen Sie in der Liste Starttyp die Option Automatisch.
5. Stellen Sie sicher, dass der Dienstsstatus auf Gestartet eingestellt ist.
Vorher klappte es immer, jetzt nicht mehr. Bin leider nicht der absolute PC Spezie.
Haui45
27.11.2004 16:02
Was klappt denn dabei nicht?
Such dir die Dienste raus und schau welcher deaktiviert ist, diesen dann starten.
cacatoa
27.11.2004 16:02
Was hast Du denn verändert am System, daß es nicht mehr klappt?
Mach erst mal den scan bei Jotti, vielleicht kannst Du Dir nämlich den Rest sparen; könnte ja durchaus sein, daß Du Dein System neu aufsetzen mußt...
Zwei dienste sind gestartet, nur automatische updates kann ich nicht starten, Fehler 1058, obwohl keine Abhängigkeiten vorhanden sind??
cacatoa
27.11.2004 16:41
Also, wie gesagt, dann warte erst mal mit den updates und mach was ich sonst noch gesagt habe, o.k.?
Ulli04
27.11.2004 16:45
ja, ok, mache ich jetzt.
Ulli04
27.11.2004 17:25
hier schon mal der neue Log:
Logfile of HijackThis v1.98.2
Scan saved at 17:14:01, on 27.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Service load: 0% 100% File: tibs3.exe Status: INFECTED/MALWARE
Packers detected: FSG
AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.39 seconds taken)
ClamAV No viruses found (0.34 seconds taken)
Dr.Web No viruses found (0.50 seconds taken)
F-Prot Antivirus No viruses found (0.08 seconds taken)
Kaspersky Anti-Virus Trojan-Downloader.Win32.Tibser.c (0.64 seconds taken)
mks_vir Win32 (probable variant) (0.20 seconds taken)
NOD32 Win32/TrojanDownloader.Tibser.A (0.42 seconds taken)
Norman Virus Control No viruses found (0.77 seconds taken)
Statistics Last piece of malware found was probably unknown NewHeur_PE in wuclient.exe, detected by:
Scanner Malware name Time taken AntiVir Heuristic/Trojan.Downloader 0.14 seconds Avast X 1.51 seconds BitDefender Trojan.Downloader.Gen 0.31 seconds ClamAV X 0.32 seconds Dr.Web X 0.52 seconds F-Prot Antivirus X 0.06 seconds Kaspersky Anti-Virus Trojan-Downloader.Win32.Small.rn 0.61 seconds mks_vir X 0.25 seconds NOD32 probably unknown NewHeur_PE 0.37 seconds Norman Virus Control X 1.37 seconds
cacatoa
27.11.2004 17:33
Hi, ulli,
Bitte folgendes im abgesicherten Modus fixen (fixen: nach dem HJT scan die Häkchen setzen, wo ich es dir sage, dann unten auf "Fix Chekced" clicken):
Dann ebenfalls im abgesicherten Modus einen eScan (mwav.exe runterladen) durchführen, Anleitung genau beachten und das Ergebnis zusammen mit einem neuen Logfile hier rein posten.
Ulli04
27.11.2004 17:59
Hallo Cacatoa,
C:\Windows\system32\tibs.exe erschien nicht.
sonst alles ausgeführt ausser :
c:\windows\questmod.dll löschen, habe ich nicht mehr gefunden.
eScan Version war älter als 30 TAge, funzte nicht.
Hier der neue Log:
Logfile of HijackThis v1.98.2
Scan saved at 17:49:38, on 27.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Arbeitsplatz linke Maustaste, Extras, Ordneroptionen, Ansicht, hier: Häkchen wegmachen bei "geschützte Systemdateien ausbelenden", Häkchen machen bei "alle Dateien anzeigen.
Im abgesicherten Modus die Dateien suchen und löschen.
Was ist mit dem eScan?
P.S.
Logfile sieht ganz gut aus.
Ulli04
27.11.2004 18:05
dein link, den du oben angegeben hast, diese Version habe ich runtergeladen. Funzte aber nicht, älter als 30 Tage, liess sich nicht installieren.
Mensch, die dösige Toolbar scheint weg zu sein. Schon mal im Voraus vielen, vielen Dank! Mache jetzt die weiteren Schritte.
cacatoa
27.11.2004 18:08
Hast du die Anleitung, die ich gepostet habe, genau gelesen (z.b. C.\bases etc..). geht bei den anderen auch, warum bei dir nicht?
Ulli04
27.11.2004 18:12
sorry, hab sie sogar ausgedruckt, mache ich jetzt nochmal....
Ulli04
27.11.2004 18:17
äh cacatao, noch ne Frage, ist eScan dann dauerhaft installiert?
ist nämlich ein Firmenrechner, haben etrust inoculate als virenscanner installiert. Könnte es da Konflikte geben?
cacatoa
27.11.2004 18:21
Ja, bleibt dauerhaft, wenn du es willst. Mußt nur regelmäßig updaten.
Da er kein Hintergrundwächter ist, gibt es keine Kollisionen. Sinnvoll, ihn zu haben und ab und zu einen scan damit durchführen zu lassen.
Ulli04
27.11.2004 18:51
Hallo nochmal, habe gar kein Verzeichnis C:\bases, habe auch kein Winzip.
Wie soll ich eScan denn jetzt installieren?
Ratlosigkeit und Verzweiflung machen sich breit...
cacatoa
27.11.2004 19:15
Einfach das Verzeichnis erstellen!
Explorer, C:\, im rechten Feld auf irgendeine Leerfläche, rechte Maustaste, Ordner neu, benennen als bases, eScan reininstallieren.
Cidre
27.11.2004 19:15
Den Ordner C:\bases musst du natürlich vorher selbst erstellen.
Lade entweder WinZip oder WinRar und entpacke damit eScan.
@ cacatoa
Warst schneller. ;)
Ulli04
27.11.2004 19:20
Danke, jetzt war ich aber auch gerade richtig blond...
Ulli04
27.11.2004 19:56
vielleicht bin ja auch einfach nur zu doof, aber wenn ich mit winzip mwav.exe extrahiere, in den Ordner bases dann bekomme ich immer nur : Version older than 30 days.... ich bekomme den Inhalt überhaupt nicht zu sehen, so dass ich mit der kavupd.exe irgendwie weitermachen könnte...???
Cidre
27.11.2004 20:25
Zitat:
Version older than 30 days
Das passiert aber nur wenn du eScan mit Doppelklick auf "mwavscan.com" starten willst, oder?
Poste mal die Dateien die sich in deinem C:\bases Ordner befinden.
Hi,
cidre wollte wissen, welche Dateien sich in dem Ordner C:\bases befinden, also alle markieren, kopieren und hier rein übertragen.
Wenn du deinen Explorer öffnest müßte da stehen (unter anderem):
C:\
(Symbol eines Ordners, klein und gelb) bases
puh, ist alles nicht so einfach...Danke. Jetzt ist der ganze Ordner voll,
kann leider nicht kopiert und hier eingefügt werden. Mache jetzt weiter im Programm....
trotz Strg A und Strg C kommt nur der obere Eintrag beim Einfügen.
Cidre
27.11.2004 23:42
Du brauchst jetzt nicht mehr den Inhalt des Ordners posten.
Fahre wie folgt fort:
- "kavupd.exe" (Update) ausführen
- Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken
Ulli04
27.11.2004 23:45
aber im abgesicherten Modus scannen?
cacatoa
27.11.2004 23:53
Hallo, bin kurz wieder da.
Antwort: Ja.
Ulli04
28.11.2004 01:24
habe jetzt gescannt, wie soll ich das Ergebnis jetzt hier posten? den gesamten Scan? also die Text (log) Datei?
Shadowdance
28.11.2004 01:28
@ Ulli04
"öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
SD
Ulli04
28.11.2004 09:13
Sun Nov 28 00:12:03 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\TIBS11.zip infected by "Password-protected-EXE" Virus. Acti
Guten Morgen, sind über 60000 Dateien gescannt worden, 14 Dateien erschienen. Bei der Such in der Log-Datei erscheint aber bei Suche nach infected nur das obige. Ist das ok?
Ulli04
28.11.2004 09:21
alles klar, muss weitersuchen...:
Sun Nov 28 00:12:03 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\TIBS.zip infected by "Password-protected-EXE" Virus. Action Taken: File Renamed.
Sun Nov 28 00:12:03 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\TIBS11.zip infected by "Password-protected-EXE" Virus. Action Taken: File Renamed.
Sun Nov 28 00:12:04 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\TIBS4.zip infected by "Password-protected-EXE" Virus. Action Taken: File Renamed.
Sun Nov 28 00:13:03 2004 => File C:\Dokumente und Einstellungen\Ulrich\Eigene Dateien\Eigene Bilder\hijackthis_198\backups\backup-20041127-174045-570.dll infected by "Trojan.Win32.Dialer.bi" Virus. Action Taken: File Deleted.
Sun Nov 28 00:50:44 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocit\infected_object.html
Sun Nov 28 00:50:45 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocit\log_infected_popup.html
Sun Nov 28 00:50:47 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocit\remove_infected_macros.html
Sun Nov 28 00:50:49 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocit\send_analysis_infected_files.html
Sun Nov 28 00:50:49 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocit\send_infected_files_only.html
Sun Nov 28 00:50:53 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocprc\curing_an_infected_file_after_a_scan.html
Sun Nov 28 00:50:53 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocprc\deleting_an_infected_file_after_a_scan.html
Sun Nov 28 00:50:54 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocprc\moving_an_infected_file_after_a_scan.html
Sun Nov 28 00:50:54 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocprc\renaming_an_infected_file_after_a_scan.html
Sun Nov 28 00:50:55 2004 => Scanning File C:\Programme\CA\eTrust\InoculateIT\Help\inocprc\viewing_details_about_an_infected_file.html
Sun Nov 28 01:09:13 2004 => Total Number of Disinfected Files: 0
Das waren alle.
cacatoa
28.11.2004 09:59
Morgen, Ulli!
Na, also, haben wir´s doch noch geschafft!
Wichtig sind nur die ersten vier, der Rest gehört zu eTrust.
Die vierte wurde von eScan gekillt.
Die ersten drei sind im Quarantäne- (bzw. Wiederherstellungsordner ) von Spybot.
Bitte leere diesen Ordner.
Damit sollte alles erledigt sein. Ein abschließendes Logfile macht die Sache noch richtig rund. ;)
cacatoa
Ulli04
28.11.2004 10:17
Guten MOrgen Cacatao, puh, habe jetzt den ganzen Ordner Recovery gelöscht, also den Inhalt. Jetzt noch mal mit hijack oder eScan?
Habe mir das SP 2 runtergeladen, danach installieren?
Und surfen hauptsächlich mit Mozilla?
Cidre
28.11.2004 10:21
Zitat:
hijack oder eScan? HiJackThis
Habe mir das SP 2 runtergeladen, danach installieren?JA
Und surfen hauptsächlich mit Mozilla?JA
Das war ne schwere Geburt. ;)
cacatoa
28.11.2004 10:24
Hi, ulli,
hast du den Spybot Ordner über Spybot selbst gelert? (In Spybot auf: Wiederherstellen, dann die Probleme markieren und auf "Markiertes Löschen" gedrückt)?
Ein HJT-Logfile nach der Installation von SP2. Mach nicht den Fehler wie viele, die sich nur den Installer des SP 2 runterladen und glauben, sie sind fertig. Man muß SP 2 dann nämlich noch installieren und das dauert ruhig mal (je nach Zugang [DSL oder Modem]) von einer halben bis zu zwei und mehr Stunden.
Also, bis dann
cacatoa
Mozilla oder opera, IE nur für Windows-Updates (geht nicht ohne den)
Ulli04
28.11.2004 10:59
So, hier nochmal ein aktuelles Log:
Logfile of HijackThis v1.98.2
Scan saved at 10:50:18, on 28.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
