|
Großes Problem Liste der Anhänge anzeigen (Anzahl: 2) Ich hab ein großes Problem (bzw nicht ich sondern ein Freund) er hat auf seinem PC anscheinend sehr viel spyware, was soweit führt das es sogar schon als "Hintergrund" erscheint... Hier sein Hintergrund, der von irgendwelcher Spyware gemacht wurde... Weiß jemand was das ist? Hijack.Log folgt gleich |
wow! eine "you have malware" malware der sich selbst erkannt hat^^ das kommt doch gleich in meinen "windows-nachahmungs" ordner. ich wette zu 30% das da malware aktiv is, die anzeigt, dass sie selbst böse is. aber ok ich warte aufs log.. |
Logfile of HijackThis v1.99.0 Scan saved at 16:32:38, on 29.01.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\WINDOWS\System32\systime.exe C:\WINDOWS\System32\Services\{EC11EB1D-620D-4982-89C2-D55F19091C43}\SVCHOST.EXE F:\SpyFighter\SpyFighterScanner.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\systime.exe C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe C:\WINDOWS\System32\wuauclt.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com O1 - Hosts: 127.0.0.3 x.full-tgp.net O1 - Hosts: 127.0.0.3 counter.sexmaniack.com O1 - Hosts: 127.0.0.3 autoescrowpay.com O1 - Hosts: 127.0.0.3 www.autoescrowpay.com O1 - Hosts: 127.0.0.3 www.awmdabest.com O1 - Hosts: 127.0.0.3 www.sexfiles.nu O1 - Hosts: 127.0.0.3 awmdabest.com O1 - Hosts: 127.0.0.3 sexfiles.nu O1 - Hosts: 127.0.0.3 allforadult.com O1 - Hosts: 127.0.0.3 www.allforadult.com O1 - Hosts: 127.0.0.3 www.iframe.biz O1 - Hosts: 127.0.0.3 iframe.biz O1 - Hosts: 127.0.0.3 www.newiframe.biz O1 - Hosts: 127.0.0.3 newiframe.biz O1 - Hosts: 127.0.0.3 www.vesbiz.biz O1 - Hosts: 127.0.0.3 vesbiz.biz O1 - Hosts: 127.0.0.3 www.pizdato.biz O1 - Hosts: 127.0.0.3 pizdato.biz O1 - Hosts: 127.0.0.3 www.aaasexypics.com O1 - Hosts: 127.0.0.3 aaasexypics.com O1 - Hosts: 127.0.0.3 www.virgin-tgp.net O1 - Hosts: 127.0.0.3 virgin-tgp.net O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{EC11EB1D-620D-4982-89C2-D55F19091C43}\SVCHOST.EXE O4 - HKLM\..\Run: [explorer] C:\WINDOWS\System32\explorer.exe O4 - HKLM\..\Run: [SpyFighterMonitor] "F:\SpyFighter\SpyFighterScanner.exe" monitor O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.iframedollars.biz O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.slotchbar.com O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.xxxtoolbar.com O15 - Trusted Zone: *.ysbweb.com O15 - Trusted Zone: *.blazefind.com (HKLM) O15 - Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.flingstone.com (HKLM) O15 - Trusted Zone: *.iframedollars.biz (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.searchbarcash.com (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.skoobidoo.com (HKLM) O15 - Trusted Zone: *.slotch.com (HKLM) O15 - Trusted Zone: *.slotchbar.com (HKLM) O15 - Trusted Zone: *.windupdates.com (HKLM) O15 - Trusted Zone: *.xxxtoolbar.com (HKLM) O15 - Trusted Zone: *.ysbweb.com (HKLM) O15 - Trusted IP range: 213.159.117.202 O15 - Trusted IP range: 213.159.117.202 (HKLM) O17 - HKLM\System\CCS\Services\Tcpip\..\{D3AAA1DA-5D88-499C-A6F5-0D03D6E4B184}: NameServer = 195.195.100.1,195.3.96.67 O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe escan log auch von Nöten? |
oh.. ein rapidblaster, ein W32/Cone-F, diverse trojan-downloader.. der bluescreen hatte recht (ironischerweise) dann führe mal das aus: 1.escan -lade dir escan runter und gehe genau nach dieser anleitung vor 2.einträge löschen -fixe mit hijackthis diese einträge: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com O1 - Hosts: 127.0.0.3 x.full-tgp.net O1 - Hosts: 127.0.0.3 counter.sexmaniack.com O1 - Hosts: 127.0.0.3 autoescrowpay.com O1 - Hosts: 127.0.0.3 www.autoescrowpay.com O1 - Hosts: 127.0.0.3 www.awmdabest.com O1 - Hosts: 127.0.0.3 www.sexfiles.nu O1 - Hosts: 127.0.0.3 awmdabest.com O1 - Hosts: 127.0.0.3 sexfiles.nu O1 - Hosts: 127.0.0.3 allforadult.com O1 - Hosts: 127.0.0.3 www.allforadult.com O1 - Hosts: 127.0.0.3 www.iframe.biz O1 - Hosts: 127.0.0.3 iframe.biz O1 - Hosts: 127.0.0.3 www.newiframe.biz O1 - Hosts: 127.0.0.3 newiframe.biz O1 - Hosts: 127.0.0.3 www.vesbiz.biz O1 - Hosts: 127.0.0.3 vesbiz.biz O1 - Hosts: 127.0.0.3 www.pizdato.biz O1 - Hosts: 127.0.0.3 pizdato.biz O1 - Hosts: 127.0.0.3 www.aaasexypics.com O1 - Hosts: 127.0.0.3 aaasexypics.com O1 - Hosts: 127.0.0.3 www.virgin-tgp.net O1 - Hosts: 127.0.0.3 virgin-tgp.net O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{EC11EB1D-620D-4982-89C2-D55F19091C43}\SVCHOST.EXE O4 - HKLM\..\Run: [explorer] C:\WINDOWS\System32\explorer.exe O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.iframedollars.biz O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.slotchbar.com O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.xxxtoolbar.com O15 - Trusted Zone: *.ysbweb.com O15 - Trusted Zone: *.blazefind.com (HKLM) O15 - Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.flingstone.com (HKLM) O15 - Trusted Zone: *.iframedollars.biz (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.searchbarcash.com (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.skoobidoo.com (HKLM) O15 - Trusted Zone: *.slotch.com (HKLM) O15 - Trusted Zone: *.slotchbar.com (HKLM) O15 - Trusted Zone: *.windupdates.com (HKLM) O15 - Trusted Zone: *.xxxtoolbar.com (HKLM) O15 - Trusted Zone: *.ysbweb.com (HKLM) O15 - Trusted IP range: 213.159.117.202 O15 - Trusted IP range: 213.159.117.202 (HKLM) -mach auch das was dort steht um die O15-Einträge zu löschen. 3.dateien löschen -lösche die dateien systime.exe, explorer.exe und spoolsrv32.exe im ordner c:\windows\system32 -lösche die datei SVCHOST.EXE im ordner C:\WINDOWS\System32\Services\{EC11EB1D-620D-4982-89C2-D55F19091C43} -lösche natürlich auch alle von escan beanstandeten dateien (alle infected) (falls die dateien nicht angezeigt werden gehe so vor: klicke auf extras, dann auf ordneroptionen klicke auf ansicht mach den haken bei "geschützte systemdateien ausblenden" weg mach nen haken bei "inhalte von systemordnern anzeigen" hin selektiere "alle dateien und ordner anzeigen") 4.ergebnisse -gehe wieder in den normalen modus -öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen -gebe infected ein -suche weiter,markiere die treffer und kopiere sie ins forum -poste ein neues hijackthis log |
frage eines dritten: was ist eigentlich die datei svchost.exe??? und der generic host process for win32 services??? |
der generic host process for win32 services ist wie schon der englische name sagt, der hauptprozess für die anderen dienste. svchost.exe ist sozusagen ein "sammeldienst" für zb. den taskplaner,RPC-Server,ras-verbindungsverwaltung, Intelligenter Hintegrundübertragungsdienst usw. ohne den svchost.exe wären in der prozessliste nicht 10programme zu finden, sondern 20 bis 25. |
File C:\WINDOWS\System32\Services\{EC11EB1D-620D-4982-89C2-D55F19091C43}\SVCHOST.DLL infected by "Trojan-Clicker.WinTraces of "CodeRed" found and cleaned !!! es ist nur dieser zu sehen im Virus.Log Feld allerdings zeigt er 57 gefundene an und als ich vorher mal reingeschaut habe, waren viel mehr zu sehen... Wo finde ich die? |
ein codered-virus.. bei dem musst du keine sorge haben, der infiziert nur php und html dateien und macht sie ggf. unbrauchbar. zu dem log: stehen im escanlog mehrere mit infected? kopiere alle infected gefundenen dateien von escan vom log hierher und poste sie. |
Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006719.exe infected by "TrojanDownloader.Win32.Small.yx" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006720.exe infected by "Trojan.Win32.LowZones.y" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006721.exe infected by "Trojan-Downloader.Win32.Small.agy" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006722.exe infected by "Trojan.Win32.Favadd.c" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006723.exe infected by "Trojan-Downloader.Win32.Dyfuca.dk" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006724.exe infected by "Trojan-Downloader.Win32.Lookme.g" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006725.exe infected by "Trojan-Dropper.Win32.Small.oy" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006726.exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006727.exe infected by "Trojan.Win32.Dialer.ff" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006728.exe infected by "Trojan-Downloader.Win32.Small.ahg" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:07 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006737.exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:19 2005 => File C:\WINDOWS\Downloaded Program Files\load.exe infected by "TrojanDownloader.Win32.Small.yx" Virus. Action Taken: No Action Taken. Sat Jan 29 17:17:00 2005 => File C:\WINDOWS\system32\dktibs.exe infected by "TrojanDownloader.Win32.Delf.dc" Virus. Action Taken: No Action Taken. Sat Jan 29 17:18:58 2005 => File C:\WINDOWS\system32\drivers\etc\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken. Sat Jan 29 17:20:13 2005 => File C:\WINDOWS\system32\Services\{EC11EB1D-620D-4982-89C2-D55F19091C43}\SVCHOST.DLL infected by "Trojan-Clicker.Win32.Agent.bw" Virus. Action Taken: No Action Taken. Sat Jan 29 17:20:20 2005 => File C:\WINDOWS\system32\srpcsrv32.dll infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken. Sat Jan 29 17:20:24 2005 => File C:\WINDOWS\system32\tnsdrv32.exe infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken. Sat Jan 29 17:20:25 2005 => File C:\WINDOWS\system32\txfdb32.dll infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken. |
Sat Jan 29 16:45:28 2005 => File C:\WINDOWS\System32\Services\{EC11EB1D-620D-4982-89C2-D55F19091C43}\SVCHOST.DLL infected by "Trojan-Clicker.Win32.Agent.bw" Virus. Action Taken: No Action Taken. Sat Jan 29 16:45:28 2005 => File C:\WINDOWS\System32\systime.exe infected by "Trojan.Win32.StartPage.pu" Virus. Action Taken: No Action Taken. Sat Jan 29 16:45:28 2005 => File C:\WINDOWS\System32\Services\{EC11EB1D-620D-4982-89C2-D55F19091C43}\SVCHOST.EXE infected by "Trojan-Clicker.Win32.Agent.bw" Virus. Action Taken: No Action Taken. Sat Jan 29 16:45:40 2005 => File C:\WINDOWS\system32\Explorer.exe infected by "Trojan-Downloader.Win32.Small.aho" Virus. Action Taken: No Action Taken. Sat Jan 29 16:45:41 2005 => File C:\WINDOWS\System32\systime.exe infected by "Trojan.Win32.StartPage.pu" Virus. Action Taken: No Action Taken. Sat Jan 29 16:45:41 2005 => File C:\WINDOWS\System32\Services\{EC11EB1D-620D-4982-89C2-D55F19091C43}\SVCHOST.EXE infected by "Trojan-Clicker.Win32.Agent.bw" Virus. Action Taken: No Action Taken. Sat Jan 29 16:45:42 2005 => File C:\WINDOWS\System32\spoolsrv32.exe infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken. Sat Jan 29 16:45:52 2005 => File C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken. Sat Jan 29 16:46:13 2005 => File C:\WINDOWS\System32\dktibs.exe infected by "TrojanDownloader.Win32.Delf.dc" Virus. Action Taken: No Action Taken. Sat Jan 29 16:47:18 2005 => File C:\WINDOWS\System32\srpcsrv32.dll infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken. Sat Jan 29 16:47:22 2005 => File C:\WINDOWS\System32\tnsdrv32.exe infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken. Sat Jan 29 16:47:23 2005 => File C:\WINDOWS\System32\txfdb32.dll infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken. Sat Jan 29 16:47:44 2005 => File C:\DOKUME~1\Hannes\LOKALE~1\Temp\i3E.tmp infected by "not-a-virus:AdWare.SurfSide.a" Virus. Action Taken: No Action Taken. Sat Jan 29 16:47:44 2005 => File C:\DOKUME~1\Hannes\LOKALE~1\Temp\i40.tmp infected by "not-a-virus:AdWare.SurfSide.a" Virus. Action Taken: No Action Taken. Sat Jan 29 16:47:49 2005 => File C:\DOKUME~1\Hannes\LOKALE~1\Temp\Temporary Internet Files\Content.IE5\85Y7CDEF\124493[1].exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken. Sat Jan 29 16:47:57 2005 => File C:\124493.exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken. Sat Jan 29 16:51:56 2005 => File C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Temp\i3E.tmp infected by "not-a-virus:AdWare.SurfSide.a" Virus. Action Taken: No Action Taken. Sat Jan 29 16:51:56 2005 => File C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Temp\i40.tmp infected by "not-a-virus:AdWare.SurfSide.a" Virus. Action Taken: No Action Taken. Sat Jan 29 16:52:01 2005 => File C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\85Y7CDEF\124493[1].exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken. Sat Jan 29 16:52:18 2005 => File C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\V63SVF31\rdgAT10[1].exe infected by "Trojan.Win32.Dialer.ay" Virus. Action Taken: No Action Taken. Sat Jan 29 16:52:28 2005 => File C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VHHBHTIZ\rdgAT10[1].exe infected by "Trojan.Win32.Dialer.ay" Virus. Action Taken: No Action Taken. Sat Jan 29 17:09:46 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP60\A0004110.exe infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken. Sat Jan 29 17:09:46 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP60\A0004110.exe infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken. Sat Jan 29 17:09:59 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP68\A0004190.exe infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:04 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006690.exe infected by "Trojan-Dropper.Win32.Small.oy" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:04 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006693.exe infected by "Trojan-Downloader.Win32.Monurl.gen" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:04 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006694.exe infected by "Backdoor.Win32.Padodor.al" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:04 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006694.exe infected by "Backdoor.Win32.Padodor.al" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:04 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006696.exe infected by "Backdoor.Thunk.d" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:04 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006700.exe infected by "Trojan.Win32.Dialer.ff" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:05 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006708.exe infected by "Trojan.Win32.LowZones.y" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:05 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006709.exe infected by "Trojan-Downloader.Win32.Small.agy" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:05 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006710.exe infected by "Trojan.Win32.Favadd.c" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:05 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006711.exe infected by "Trojan-Downloader.Win32.Dyfuca.dk" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:05 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006712.exe infected by "Trojan-Downloader.Win32.Lookme.g" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006715.exe infected by "Trojan.Win32.Dialer.ff" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006717.EXE infected by "Trojan-Dropper.Win32.SurfSide.a" Virus. Action Taken: No Action Taken. |
Antworte bitte mit "Alles löschen außer" - Danke :)) |
Das System ist total verseucht (auch diveres Backdoortrojaner). Um wieder einen vertrauenswürdigen Zustand herzustellen sollte das System neu aufgesetzt werden. Wenn du nicht ausschließlich mit DSL ins Netz gehst, die Dialer bitte zur Beweissicherung auf Diskette speichern. |
-mach auch das was dort steht um die O15-Einträge zu löschen. bis dahin habe ich jetzt alles gemacht - das neue logfile nachdem ich die 015 Einträge mit diesem DelDomains gelöscht habe ist: Logfile of HijackThis v1.99.0 Scan saved at 18:20:03, on 29.01.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE F:\SpyFighter\SpyFighterScanner.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [SpyFighterMonitor] "F:\SpyFighter\SpyFighterScanner.exe" monitor O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{D3AAA1DA-5D88-499C-A6F5-0D03D6E4B184}: NameServer = 195.195.100.1,195.3.96.67 O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe so jetzt lösche ich alle "infected" dateien und diese die ihr mir auch angesagt habe :) |
Zitat:
|
@Frogga die dialer auf diskette sichern zwecks beweismittel Sat Jan 29 16:47:49 2005 => File C:\DOKUME~1\Hannes\LOKALE~1\Temp\Temporary Internet Files\Content.IE5\85Y7CDEF\124493[1].exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken. Sat Jan 29 17:09:46 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP60\A0004110.exe infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken. Sat Jan 29 17:09:46 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP60\A0004110.exe infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken. Sat Jan 29 17:09:59 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP68\A0004190.exe infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006715.exe infected by "Trojan.Win32.Dialer.ff" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006726.exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006727.exe infected by "Trojan.Win32.Dialer.ff" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006726.exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken. Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006727.exe infected by "Trojan.Win32.Dialer.ff" Virus. Action Taken: No Action Taken. ich empfehle dir bei dieser sammlung dein system neu aufzusetzen Format C einer der ursachen Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) hier eine hilfestellung sry @Haui45 warst wieder mal schneller :D chaosman |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:10 Uhr. |
Copyright ©2000-2025, Trojaner-Board