|
viren & hartnäckiger hijacker hi, hatte viren & einen hijacker, den ich nicht wegkrieg. unter anderem ist jetzt das xp-firewallsymbol im tray, owohl ich weder sp2 noch die fw dazu installiert hab... hier das log: (die r1 und r0 sachen lassen sich nicht mit hjthis entfernen, kommen immer wieder ...oder ich lösche zuviel, dann isses inet ganz tot.) Logfile of HijackThis v1.98.2 Scan saved at 23:28:46, on 25.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\RedLine\Taskbar.exe C:\WINDOWS\System32\CTHELPER.EXE C:\WINDOWS\netcf32.exe C:\Programme\Mouseware\MouseWare\system\em_exec.exe C:\WINDOWS\system32\atlff32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\hijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\urwkb.dll/sp.html#10001 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\urwkb.dll/sp.html#10001 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\urwkb.dll/sp.html#10001 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\urwkb.dll/sp.html#10001 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\urwkb.dll/sp.html#10001 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\urwkb.dll/sp.html#10001 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\urwkb.dll/sp.html#10001 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {F1B29D9E-77D4-3911-26FA-4DF52CC3DF6D} - C:\WINDOWS\ntub.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [RedLine Taskbar] C:\Programme\RedLine\Taskbar.exe O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode O4 - HKLM\..\Run: [netcf32.exe] C:\WINDOWS\netcf32.exe O4 - HKLM\..\RunOnce: [msbi.exe] C:\WINDOWS\msbi.exe O4 - HKLM\..\RunOnce: [atlff32.exe] C:\WINDOWS\system32\atlff32.exe O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Calibration\Adobe Gamma Loader.exe O15 - Trusted Zone: http://download.windowsupdate.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100267738562 O17 - HKLM\System\CCS\Services\Tcpip\..\{EAE715F8-F9F2-4E76-BBBB-C0A724BA989D}: NameServer = 10.212.67.1 TY KG |
Hallo, lass bitte diese Dateien: C:\WINDOWS\netcf32.exe C:\WINDOWS\msbi.exe C:\WINDOWS\system32\atlff32.exe hier online checken un Teile die Ergebnisse mit: http://virusscan.jotti.dhs.org dartus |
hi, C:\WINDOWS\netcf32.exe: nix gefunden, aber "possibly infected by heuristic detections" C:\WINDOWS\msbi.exe C:\WINDOWS\system32\atlff32.exe: beide "no infection, but suspicios" weil der scan sehr lange dauerte. aber definitiv infiziert sind alle 3 nicht. |
@ karel gott Bei allen drei Dateien handelt es sich definitiv um Malware. Führe deshalb dies aus: Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben. Poste anschliessend die Virus Log Information von eScan AntiVirus: Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. |
C:\WINDOWS\netcf32.exe C:\WINDOWS\msbi.exe C:\WINDOWS\system32\atlff32.exe Bitte lade auch alle Dateien hier hoch: www.malwareupload.com |
:) , ich bin wohl zu alt und zu langsam. @Karel Gott bitte befolge *Christiian*s Bitte. dartus |
Fri Feb 25 19:25:02 2005 => File C:\WINDOWS\htpatch.exe.bak tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. Fri Feb 25 19:25:05 2005 => File C:\WINDOWS\wnwki.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken. Fri Feb 25 19:25:56 2005 => File C:\WINDOWS\System32\vlzmq.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken. Fri Feb 25 19:27:14 2005 => File C:\Programme\hijackThis\backups\backup-20050113-040054-494.dll tagged as not-a-virus:AdWare.BHO.SearchAssistant.c. No Action Taken. Fri Feb 25 19:28:04 2005 => File C:\Treiber\SIS 648\agp113\agp113\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. Fri Feb 25 19:29:55 2005 => File C:\WINDOWS\htpatch.exe.bak tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. Fri Feb 25 19:34:42 2005 => File C:\WINDOWS\system32\vlzmq.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken. Fri Feb 25 19:34:56 2005 => File C:\WINDOWS\wnwki.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken. Sat Feb 26 01:08:52 2005 => File C:\WINDOWS\htpatch.exe.bak tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. Sat Feb 26 01:13:03 2005 => File C:\WINDOWS\htpatch.exe.bak tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. Sat Feb 26 01:13:10 2005 => File C:\WINDOWS\wnwki.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken. Sat Feb 26 01:14:10 2005 => File C:\WINDOWS\System32\lnfrd.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken. Sat Feb 26 01:15:09 2005 => File C:\WINDOWS\System32\vlzmq.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken. Sat Feb 26 01:17:10 2005 => File C:\Programme\hijackThis\backups\backup-20050113-040054-494.dll tagged as not-a-virus:AdWare.BHO.SearchAssistant.c. No Action Taken. Sat Feb 26 01:18:30 2005 => File C:\Treiber\SIS 648\agp113\agp113\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. Sat Feb 26 01:21:22 2005 => File C:\WINDOWS\htpatch.exe.bak tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. Sat Feb 26 01:27:57 2005 => File C:\WINDOWS\system32\lnfrd.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken. Sat Feb 26 01:29:21 2005 => File C:\WINDOWS\system32\vlzmq.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken. Sat Feb 26 01:29:49 2005 => File C:\WINDOWS\wnwki.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken. Fri Feb 25 19:27:54 2005 => File C:\RECYCLER\S-1-5-21-1801674531-1500820517-725345543-1003\Dc1.hta infected by "Trojan-Dropper.VBS.Inor.cj" Virus. Action Taken: File Deleted. Fri Feb 25 19:26:41 2005 => File C:\ntdetect.hta infected by "Trojan-Dropper.VBS.Inor.cj" Virus. Action Taken: File Deleted. Fri Feb 25 19:26:32 2005 => File C:\Dokumente und Einstellungen\Tomy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WJBZ2SPP\msits[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed. Fri Feb 25 19:26:20 2005 => File C:\Dokumente und Einstellungen\Tomy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\F753FXOW\archive[1].jar infected by "Trojan.Java.ClassLoader.z" Virus. Action Taken: File Deleted. soweit die escans. die 3 filez kann ich leider nicht auf malwareupload.com raufladen. die dateien würden nicht den kriterien entspechen...warum auch immer - es geht leider net. KG ps: escan hat alle 3 nicht gelöscht, sind nach wie vor auf dem rechner. |
Hmm? Die Dateien entsprechen nicht den Kritierien? Sind sie über 2 MB groß? Sende mir bitte die Dateien an partytime-germany.ice@web.de . Danke schonmal. Christian |
Die Dateien sind auf malwareupload.com angekommen. Die Rückmeldung für ordnungsgemässe Uploads wird verbessert. MfG Marc |
thx marchjt für die rückmeldung & thx christian für das angebot, dir die dateien zu schicken. zwischenzeitlich alle 3 filez durch markhjt gecheckt: alle 3 malware.´ (juhuu, ich hab gaaaanz neue malware, die av-software noch nicht kennt ;) ) versuche also alle 3 zu löschen. was muß ich noch tun ? KG. ps: netcf32.exe sorgt in unregelm abständen für ein popup das aussieht wie eine windows-systemmeldung von der xp2-firewall mit auswahlfeldern ja/nein zum anklicken... sieht genau aus wie echt. |
|
die ganzen r0,r1 und r3 einträge bekomme ich nicht endgültig gelöscht. auch das netcf32.exe wird von hjt zwar gefixt, ist nach neustart aber wieder da. soll ich die 3 unten genannten filez einfach von hand löschen ?? ein aktuelles log: Logfile of HijackThis v1.98.2 Scan saved at 22:48:52, on 26.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\d3im32.exe C:\Programme\RedLine\Taskbar.exe C:\Programme\Mouseware\MouseWare\system\em_exec.exe C:\WINDOWS\System32\CTHELPER.EXE C:\WINDOWS\netcf32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\hijackThis\HijackThis.exe C:\WINDOWS\System32\wuauclt.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qmxrh.dll/sp.html#10001 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qmxrh.dll/sp.html#10001 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\qmxrh.dll/sp.html#10001 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qmxrh.dll/sp.html#10001 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qmxrh.dll/sp.html#10001 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\qmxrh.dll/sp.html#10001 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\qmxrh.dll/sp.html#10001 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {84726F98-05BE-A8F9-2D6E-FA2D7F559343} - C:\WINDOWS\ippt.dll O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [RedLine Taskbar] C:\Programme\RedLine\Taskbar.exe O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode O4 - HKLM\..\Run: [netcf32.exe] C:\WINDOWS\netcf32.exe O4 - HKLM\..\RunOnce: [d3im32.exe] C:\WINDOWS\d3im32.exe O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Calibration\Adobe Gamma Loader.exe O15 - Trusted Zone: http://download.windowsupdate.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100267738562 O17 - HKLM\System\CCS\Services\Tcpip\..\{EAE715F8-F9F2-4E76-BBBB-C0A724BA989D}: NameServer = 10.212.67.1 |
nein. ist zwar schon gut, dass es malwareupload.com gibt, aber ich müsste wissen, um was es sich da handelt... also lass die dateien bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis |
Zitat:
hi, hatte ich doch schon weiter unten gemacht |
also, nachdem vom trojaner-board diesmal leider wenig hilfe kam (schade drum :( :( :( ), hab ich das prob aber wohl selbst in den griff bekommen. hab die ensprechenden dienste und über ein dutzend dll und exe aus den windows bzw windows/system32-verzeichnissen rausgefunden von hand gelöscht. jetzt iss erstmal ruhe. c ya KG |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:49 Uhr. |
Copyright ©2000-2025, Trojaner-Board