Nich killbar?
 

Ich versuch jetzt schon ein paar Tage ein paar Hartnäckige Hijacker oder was das ist zu killen. Irgendwie will das nicht so wie ich will. Habe mir hier alles mögliche durchgelesen, im abgesicherten Modus mit HiJackThis alles mögliche gefixed.. oder mit SpyBot S&D.
Immer wenn ichs gefixt habe kommt es wieder?!
------------------------------------
HiJackThis - LOG:

Logfile of HijackThis v1.98.2
Scan saved at 17:34:24, on 01.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\mIRC\mirc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\X\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Explorer
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autofix /autoclose
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

------------------------------------------------------------
SpyBot - LOG:

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-21-1960408961-2111687655-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

Common hijacker: Redirected host (Redirected host, nothing done)


Common hijacker: Redirected host (Redirected host, nothing done)


CoolWWWSearch.Bootconf: Redirected host (Redirected host, nothing done)


CoolWWWSearch.Loadbat: Redirected host (Redirected host, nothing done)


CoolWWWSearch.Msconfd: Redirected host (Redirected host, nothing done)


CoolWWWSearch.Oslogo: Redirected host (Redirected host, nothing done)


CoolWWWSearch.Tapicfg: Redirected host (Redirected host, nothing done)


CoolWWWSearch.Xmlmimefilter: Redirected host (Redirected host, nothing done)


IGetNet: Redirected host (Redirected host, nothing done)



--- Spybot - Search && Destroy version: 1.3 ---
2004-08-11 Includes\Cookies.sbi
2004-11-17 Includes\Dialer.sbi
2004-11-17 Includes\Hijackers.sbi
2004-11-17 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-11-17 Includes\Malware.sbi
2004-10-05 Includes\Revision.sbi
2004-10-25 Includes\Security.sbi
2004-11-17 Includes\Spybots.sbi
2004-10-21 Includes\Tracks.uti
2004-11-17 Includes\Trojans.sbi
-----------------------------------------------------

Jedesmal wenn ich die CoolWWWSearch -Sachen etc. lösche, kommen sie beim nächsten scan wieder, manchmal wollen die nichtmal richtig gefixt werden..

habs schon im abgesicherten Modus versucht zu löschen..
hmm
Weiß jemand weiter?
Danke schonmal im voraus

celric

Danach das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp


Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HiJackThis und die Virus Log Information von eScan posten

daaanke.. !!!!
nu ist das endlich auch vorbei..
was ne verdammte arbeit die man davon hat wenn man nich regelmäßig updated.. und mein antivir guard (der ständig aktuell ist) hat nix gemerkt.. echt ne schweinerei

Dieser Punkt steht noch aus:

Logfile of HijackThis v1.98.2
Scan saved at 18:01:55, on 02.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\mIRC\mirc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\X\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Explorer
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: AntiVir Guard.lnk = C:\Programme\AVPersonal\AVGNT.EXE
O4 - Startup: Zone Labs Security.lnk = C:\Programme\ZoneAlarm\zlclient.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

------

ich denk das R1 - Explorer ding kann ich auch noch löschen..
ansonste ist meine hosts-file auch wieder in ordnung..

Escan findet nur noch so eine odse.exe-file die ich aber nicht finden kann.
(Auch nicht im, von Escan, angegebenen Ordner)

so danke denn nochmal,
celric

Hallo celric,

wir wüssten gerne das Ergebnis des eScan. Wenn Du meinst, dass Du unsere Hilfe nicht mehr benötigst und weisst, welche Viren welche Auswirkungen haben, ist es natürlich in Ordnung, dass Du mit einem Dankeschön entschwindest. Es ist allerdings möglich, dass Du dabei den einen oder anderen Virus mit Backdoor-Funktionalität auf dem System nicht erkannt hast, nun mit einem vermeintlich sicheren oder sauberen System weitersurfst, während Dein Rechner längst in fremder Hand ist. Um dies ausschließen zu können, fragen wir die User, zB. Dich, uns das Ergebnis des eScan mitzuteilen.

Teile uns also bitte das Geamt-Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> virus eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Shadowdance

File C:\Dokumente und Einstellungen\X\Anwendungsdaten\odse.exe tagged as not-a-virus:AdWare.PurityScan.w. No Action Taken.

File C:\WINDOWS\system32\fastvideoplayer.dll infected by "Trojan-Downloader.Win32.Dyfuca.dn" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{EF5D2C9D-B830-496D-BE93-7DF599FA6C6C}\RP48\A0033980.dll infected by "Trojan-Downloader.Win32.Dyfuca.dn" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{EF5D2C9D-B830-496D-BE93-7DF599FA6C6C}\RP48\A0031901.exe infected by "TrojanDownloader.Win32.Agent.eq" Virus. Action Taken: No Action Taken.

Die letzten 3 hab ich gelöscht.
Diese "odse.exe" kann ich nicht finden?
Keine Ahnung was das soll.. der findet die jedesmal aber die gibts nicht.
Ansonsten frag ich mich was diese "System Volume Information" darstellt. Da sind ne menge RPXX-Folders, in denen ne Menge Dateien sind.
Bedeutet das "_restore......", dass man die Folder alle löschen kann oder lieber nicht antasten?

Ok, nochmals danke für die Hilfe!

Ok jetzt habe ich keine Lust mehr.
Da isses schon wieder..

Jetz werd ich mir nochn paar Sachen durchlesen zum neu Aufsetzen vom System und dann hau ich das System weg.
Kann doch nich sein, man man man..

Trotzdem danke auch wenns im Endeffekt nichts gebracht hat *g*
Jetzt bin ich schlauer und sicher mein System gleich mit SpyBot etc.