|
Abi Network trojaner ??? + Log file Hier ist das Log file: Logfile of HijackThis v1.99.1 Scan saved at 23:00:30, on 02.08.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Winamp\Winampa.exe c:\windows\system32\wyocoa.exe C:\Program Files\Internet Optimizer\optimize.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\FRITZ!DSL\StCenter.EXE C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Outlook Express\msimn.exe C:\WINDOWS\System32\dwwin.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Adobe\Acrobat 4.0\Reader\AcroRd32.exe C:\Programme\Kazaa Lite\clean.kmd C:\WINDOWS\system32\rundll32.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\dwwin.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\System32\dwwin.exe C:\Dokumente und Einstellungen\RIC\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.1und1.de/Herzlich_Willkommen/b1/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.1und1.de/Herzlich_Willkommen/b1/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: AuroraHandlerObj Class - {4AA870AC-8427-42a4-B92E-ECD956197489} - C:\WINDOWS\AuroraHandler.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [InstantAccess] C:\Programme\ScannerU\TBRIDGE\BIN\InstantAccess.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] C:\Programme\ScannerU\TBRIDGE\BIN\RegisterDropHandler.EXE O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" O4 - HKLM\..\Run: [pmynem] c:\windows\system32\wyocoa.exe r O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\Programme\ScannerU\TBRIDGE\BIN\RegisterDropHandler.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Global Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O14 - IERESET.INF: "START_PAGE_URL=h**p://www.1und1.de/Herzlich_Willkommen/b1/ O15 - Trusted Zone: *.media-motor.net O15 - Trusted Zone: *.popuppers.com O15 - Trusted Zone: h**p://ny.contentmatch.net (HKLM) O16 - DPF: {7149E79C-DC19-4C5E-A53C-A54DDF75EEE9} (IObjSafety.DemoCtl) - h**p://cabs.media-motor.net/cabs/diamond.cab O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://h**p://www.xxxtoolbar.com/ist...006_cracks.cab O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe Auf meinem Desktop zeigt sich immer eine Fehlermeldung über die Explorer.exe Außerdem hab ich eine software drauf namens ABI networks und kann diese nicht loeschen... Ich hab sowas zum ersten mal und kenne mich auch überhaupt nicht damit aus. Es wär nett wenn ihr mir helfen könntet. Danke im vorraus |
Hallo@th0m4d aurora abi networks virus/trojan Gehe in die Registry Start-->Ausfuehren-->regedit HKEY_CURRENT_USER/Software/aurora <<--loeschen Lade:Find_It__s.zip-->klicke FindIt's.bat--> wenn der Editor sich oeffnet, kopiere den RText ab und poste ihn http://bilder.informationsarchiv.net...Find_It__s.zip Oeffne den Editor und kopiere rein: @ECHO OFF cd\windows Nail.exe /FULLREMOVE sc config SvcProc start= disabled sc stop SvcProc sc delete SvcProc attrib -s -r -h nail.exe attrib -s -r -h svcproc.exe del nail.exe del svcproc.exe exit abspeichern als remove.bat 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. boote den PC in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt) und klicke die remove.bat #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: AuroraHandlerObj Class - {4AA870AC-8427-42a4-B92E-ECD956197489} - C:\WINDOWS\AuroraHandler.dll O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" O4 - HKLM\..\Run: [pmynem] c:\windows\system32\wyocoa.exe r O15 - Trusted Zone: *.media-motor.net O15 - Trusted Zone: *.popuppers.com O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe PC neustarten CCleaner--> loesche alle *temp-Datein http://nikita.eddys-domain.de/IE.html Nailfix Auf den Desktop entpacken Im abgesicherter Modus die Nailfix.cmd Datei ausführen(dein Schreibtisch und Ikonen verschwinden und erscheinen wieder). http://www.noidea.us/easyfile/file.p...50515010747824 mirror: http://www.dknoppix.com/cgi-bin/download.cgi?Nailfix deinstallieren "Start -> Einstellungen -> Systemsteuerung -> Software" Internet Optimizer •KillBox http://bilder.informationsarchiv.net...ls/KillBox.zip Anleitung: (bebildert) http://nikita.eddys-domain.de/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\AuroraHandler.dll C:\WINDOWS\Nail.exe C:\WINDOWS\svcproc.exe C:\Program Files\Internet Optimizer C:\WINDOWS\System32\dwwin.exe PC neustarten Ewido--> scannen--> poste mir das Log vom SCan, bitte http://nikita.eddys-domain.de/antivirenfree.html dann poste das neue Log vom HijackThis |
Dann ist ja jetzt wohl auch Sabina aus dem protectus-board anwesend! ;) |
Zitat:
die Nail-Geschichte interessiert mich. allerdings, wenn ich eine reg-Datei poste, kommen die Dateien verzerrt rueber. Wieso??? zum Beispiel: [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcProc] |
Hi Sabina, das liegt an der Forensoftware. ;) |
PHP und MySQL sind tückisch! :D |
Zitat:
Da muss ich immer extra eine Seite erstellen. Kann man das nicht irgendwie beheben???? :crazy: |
Hier ist das was findit´s asugespuckt hat... Microsoft Windows XP [Version 5.1.2600] PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Dont delete file's in the section without guidance If any doubt back them up first * UPX! C:\WINDOWS\System32\RAHXCBX.EXE * UPX! C:\WINDOWS\NAIL.EXE * UPX! C:\WINDOWS\SVCPROC.EXE »»»»» lagitamate file's can/will show in this section. * UPX! C:\WINDOWS\System32\DRPMON.DLL »»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»» Checking Windir\svcproc.exe and nail.exe. svcproc.exe Nail.exe »»»»» Checking for System32\DrPMon.dll. DrPMon.dll »»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CC8B-1377 Verzeichnis von C:\WINDOWS\SYSTEM32 »»»»» Checking for SAHAgent ico files. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CC8B-1377 Verzeichnis von C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»». ! REG.EXE VERSION 3.0 HKEY_CURRENT_USER\Software\aurora ! REG.EXE VERSION 3.0 HKEY_CURRENT_USER\Software\ceres ! REG.EXE VERSION 3.0 HKEY_CLASSES_ROOT\Interface\{BB0D5ADC-028D-4185-9288-722DDCE2C757} <NO NAME> REG_SZ ICeresDllObj ! REG.EXE VERSION 3.0 HKEY_CLASSES_ROOT\TypeLib\{92DAF5C1-2135-4E0C-B7A0-259ABFCD3904} ! REG.EXE VERSION 3.0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors\ZepMon Driver REG_SZ DrPMon.dll ! REG.EXE VERSION 3.0 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Monitors\ZepMon Driver REG_SZ DrPMon.dll ! REG.EXE VERSION 3.0 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Print\Monitors\ZepMon Driver REG_SZ DrPMon.dll |
Hallo@th0m4d ich kann leider keine reg-Datei erstellen, deshalb musst du selbst in die Registry Start-->Ausfuehren-->regedit loeschen: HKEY_CURRENT_USER\Software\aurora HKEY_CURRENT_USER\Software\ceres HKEY_CLASSES_ROOT\Interface\{BB0D5ADC-028D-4185-9288-722DDCE2C757} HKEY_CLASSES_ROOT\TypeLib\{92DAF5C1-2135-4E0C-B7A0-259ABFCD3904} HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Print\Monitors\ZepMon HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Pr int\Monitors\ZepMon HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Pr int\Monitors\ZepMon •KillBox http://bilder.informationsarchiv.net...ls/KillBox.zip Anleitung: (bebildert) http://nikita.eddys-domain.de/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\System32\RAHXCBX.EXE C:\WINDOWS\NAIL.EXE C:\WINDOWS\SVCPROC.EXE C:\WINDOWS\System32\DRPMON.DLL PC neustarten CCleaner--> loesche alle *temp-Datein http://nikita.eddys-domain.de/IE.html Nailfix Auf den Desktop entpacken Im abgesicherter Modus die Nailfix.cmd Datei ausführen(dein Schreibtisch und Ikonen verschwinden und erscheinen wieder). laden+ scannen Nailfix http://www.noidea.us/easyfile/file.p...50515010747824 mirror: http://www.dknoppix.com/cgi-bin/download.cgi?Nailfix Ewido laden (poste mir bitte den Report vom Scan) http://nikita.eddys-domain.de/antivirenfree.html install...run Ewido - press Update - press Start Update scan mit Ewido im abgesicherten Modus + das neue Log vom HijackThis ;) |
Ich glaub dieses ABI Network hat sich bei mir auch eingenistet. Könnte mir jemand mal umschreiben, was ich an Software brauche, um das wieder loszubekommen? Hab mir das oben schon durchgelsen, aber ich bin im bezug auf Trojaner noch rel. grün hinter den Ohren. Vielen Dnak schonmal. Asgir :D |
Zitat:
HijackThis http://nikita.eddys-domain.de/hjtkurz.html Lade/entpacke HijackThis in einem Ordner -->None of the above, just start the program --> Save--> Savelog -->es öffnet sich der Editor --> oder: Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen Lade:Find_It__s.zip-->klicke FindIt's.bat--> wenn der Editor sich oeffnet, kopiere den RText ab und poste ihn http://bilder.informationsarchiv.net...Find_It__s.zip Lade: rkfiles.zip http://bilder.informationsarchiv.net...ls/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.trojaner-board.de/63335-w...s-starten.html -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst (auch wenn es lange dauert....)--->poste C:\log.txt Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 30 Tage raus (auch den jeweiligen pfad mit abkopieren) einzeln reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit |
Hab nu mal fürn Anfang das HijackThis ausgeführt. Hier das Logfile: Logfile of HijackThis v1.99.1 Scan saved at 20:24:58, on 04.08.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\jagigyo.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Mozilla Firefox\firefox.exe F:\Eigene Dateien\Downloads\Software\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [hwelir] C:\WINDOWS\system32\jagigyo.exe r O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ? O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409 O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C29E71D0-68BE-43F4-9EFC-FEF95AFE1CE5}: NameServer = 192.168.0.1 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe Die anderen Sachen muss ich mir erst nochmal genauer durchlesen, bis ich das schnall. Aber evtl. könnt ihr mir schon mal nen groben Überblick geben, wie schlimm es ausschaut. ;) Ach ja ... hab von der aktuellen Chip mal den Spybot Search&Destroy laufen lassen ... ka, ob das jemand kennt. Zumindest hat der die Sachen von "Abetterinternet" gleich erkannt und nach eigenen angaben "behoben". Fragt sich nur, wie tief der einsteigt. |
es ist eine Nail-verseuchung...ich brauche also alle Daten, um die ich gebeten habe...dann geht es los mit der Reinigung wenn du was nicht verstehst.....immer fragen :kloppen: |
Nächste Packung :) Find It Log-File: Microsoft Windows XP [Version 5.1.2600] PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Dont delete file's in the section without guidance If any doubt back them up first * UPX! C:\WINDOWS\System32\AHDBSHM.EXE * UPX! C:\WINDOWS\System32\XVID-U~1.EXE * UPX! C:\WINDOWS\NAIL.EXE * UPX! C:\WINDOWS\SUTUFV~1.EXE * UPX! C:\WINDOWS\SVCPROC.EXE »»»»» lagitamate file's can/will show in this section. * UPX! C:\WINDOWS\System32\DRPMON.DLL »»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»» Checking Windir\svcproc.exe and nail.exe. svcproc.exe Nail.exe »»»»» Checking for System32\DrPMon.dll. DrPMon.dll »»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 50D5-3270 Verzeichnis von C:\WINDOWS\SYSTEM32 »»»»» Checking for SAHAgent ico files. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 50D5-3270 Verzeichnis von C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»». ! REG.EXE VERSION 3.0 HKEY_CURRENT_USER\Software\aurora ! REG.EXE VERSION 3.0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors\ZepMon Driver REG_SZ DrPMon.dll ! REG.EXE VERSION 3.0 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Monitors\ZepMon Driver REG_SZ DrPMon.dll |
sehr schoen...nun bitte den Rest noch ;) suche auch mal bitte diese Datei und Rechtsklick Eigenschaften--> Erstellungsdatum und eventuell, was noch da steht+ mir die komplette Datei posten, denn wegen dem ~ kann ich es nicht sehen. SUTUFV~1.EXE |
rkfiles.bat : PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Files Found in system Folder............ ------------------------ C:\WINDOWS\system32\bnalbe.exe: UPX! C:\WINDOWS\system32\DrPMon.dll: UPX! C:\WINDOWS\system32\xvid-uninstall.exe: UPX! C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 Files Found in all users startup Folder............ ------------------------ C:\WINDOWS\system32\bnalbe.exe: UPX! C:\WINDOWS\system32\DrPMon.dll: UPX! C:\WINDOWS\system32\xvid-uninstall.exe: UPX! Files Found in all users windows Folder............ ------------------------ C:\WINDOWS\Nail.exe: UPX! C:\WINDOWS\sutufvnsigg.exe: UPX! C:\WINDOWS\svcproc.exe: UPX! Finished bye ______________ Die .exe-Datei heisst sutufvnsigg.exe http://home.arcor.de/thomas.kopf/sutufvnsigg.jpg Was mich da wundert, ist das erstellungs-Datum. Mein Rechner ist realtiv frisch neu installiert ... so 6-8 Wochen ist das her, aber die Datei scheint schon 1 Jahr alt zu sein ... __________________ Zitat:
|
Ah .. ich glaub ich habs gecheckt :)) here we go ... Verzeichnis von C:\WINDOWS\system32 04.08.2005 20:35 380.486 perfh009.dat 04.08.2005 20:35 52.900 perfc009.dat 04.08.2005 20:35 391.330 perfh007.dat 04.08.2005 20:35 63.778 perfc007.dat 04.08.2005 20:35 872.856 PerfStringBackup.INI 04.08.2005 20:33 13.698 wpa.dbl 12.07.2005 18:04 520.456 LegitCheckControl.dll 11.07.2005 17:02 116.560 FNTCACHE.DAT 06.07.2005 19:26 1.375.064 MRT.exe 02.07.2005 15:33 3.799 jupdate-1.5.0_04-b05.log Verzeichnis von C:\DOKUME~1\Asgir\LOKALE~1\Temp 04.08.2005 23:53 16.384 Perflib_Perfdata_a14.dat 04.08.2005 23:53 16.384 Perflib_Perfdata_734.dat 04.08.2005 23:53 16.384 Perflib_Perfdata_440.dat 04.08.2005 23:52 11.399 jusched.log 04.08.2005 22:45 73.276 ~e5.0001 04.08.2005 20:47 0 1is4.tmp 04.08.2005 20:44 0 syq3.tmp 04.08.2005 20:41 514.569 tmp.xpi 04.08.2005 20:36 3.608 netfxupdate.log 04.08.2005 20:35 10.976 netfxsl.log 04.08.2005 20:35 7.734 ASPNETSetup.log 04.08.2005 19:59 2.488 java_install_reg.log 04.08.2005 19:58 635 jupdate1.5.0.xml 03.08.2005 19:08 0 u6t1.tmp 01.08.2005 23:12 10.538 control.xml Verzeichnis von C:\WINDOWS 04.08.2005 23:56 356 wiadebug.log 04.08.2005 23:56 50 wiaservc.log 04.08.2005 23:52 45 AHFMIGMM.ini 04.08.2005 23:52 0 0.log 04.08.2005 23:52 258.791 WindowsUpdate.log 04.08.2005 23:52 2.048 bootstat.dat 04.08.2005 23:41 100.976 ntbtlog.txt 04.08.2005 23:39 16.652 SchedLgU.Txt 04.08.2005 20:41 3.254 mozver.dat 04.08.2005 20:37 2.906 COM+.log 04.08.2005 20:36 75.124 comsetup.log 04.08.2005 20:36 45.977 ntdtcsetup.log 04.08.2005 20:36 295.675 iis6.log 04.08.2005 20:36 11.578 ocmsn.log 04.08.2005 20:36 9.691 tabletoc.log 04.08.2005 20:36 20.549 KB896358.log 04.08.2005 20:36 1.355 imsins.log 04.08.2005 20:36 96.992 tsoc.log 04.08.2005 20:36 34.187 netfxocm.log 04.08.2005 20:36 10.290 msgsocm.log 04.08.2005 20:36 14.537 MedCtrOC.log 04.08.2005 20:36 116.600 ocgen.log 04.08.2005 20:36 188.141 FaxSetup.log 04.08.2005 20:36 75.884 msmqinst.log 04.08.2005 20:36 8.637 updspapi.log 04.08.2005 20:36 1.355 imsins.BAK 04.08.2005 20:36 19.153 KB901214.log 04.08.2005 20:36 12.431 KB903235.log 04.08.2005 20:36 41.749 KB893066.log 04.08.2005 20:36 21.145 KB883939.log 04.08.2005 20:36 14.794 KB896428.log 04.08.2005 20:36 15.130 KB896422.log 04.08.2005 20:35 15.500 KB890046.log 04.08.2005 20:32 6.840 KB898461.log 04.08.2005 20:31 478.516 setupapi.log 02.08.2005 18:23 0 nsreg.dat 02.08.2005 18:20 99.970 UninstallFirefox.exe 01.08.2005 23:12 46.310 wmsetup.log Verzeichnis von C:\ 05.08.2005 00:26 0 sys.txt 05.08.2005 00:25 6.084 system.txt 05.08.2005 00:24 5.835 systemtemp.txt 05.08.2005 00:22 92.853 system32.txt 04.08.2005 23:52 1.073.270.784 hiberfil.sys 04.08.2005 23:52 1.610.612.736 pagefile.sys 04.08.2005 23:50 1.037 log.txt 04.08.2005 23:49 91 windows.txt 04.08.2005 23:48 338 win.txt 04.08.2005 23:47 122 start.txt fertsch :D |
ich brauche die pfade, keine Trennstriche bitte ;) |
habs oben reineditiert :crazy: |
Asgir Gehe in die Registry Start-->Ausfuehren-->regedit loeschen: HKEY_CURRENT_USER\Software\aurora HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Print\Monitors\ZepMon HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Pr int\Monitors\ZepMon #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O4 - HKLM\..\Run: [hwelir] C:\WINDOWS\system32\jagigyo.exe r PC neustarten •KillBox http://bilder.informationsarchiv.net...ls/KillBox.zip Anleitung: (bebildert) http://nikita.eddys-domain.de/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\bnalbe.exe C:\WINDOWS\system32\DrPMon.dll C:\WINDOWS\Nail.exe C:\WINDOWS\System32\AHDBSHM.EXE C:\WINDOWS\svcproc.exe PC neustarten CCleaner--> loesche alle *temp-Datein http://nikita.eddys-domain.de/IE.html Nailfix Auf den Desktop entpacken Im abgesicherter Modus die Nailfix.cmd Datei ausführen(dein Schreibtisch und Ikonen verschwinden und erscheinen wieder). http://www.noidea.us/easyfile/file.p...50515010747824 mirror: http://www.dknoppix.com/cgi-bin/download.cgi?Nailfix Ewido--> poste mir den Report vom Scan http://nikita.eddys-domain.de/antivirenfree.html + das neue Log vom HijackThis ------------ einzelne "exe" ueberpruefen http://www.virustotal.com/flash/index_en.html Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten C:\WINDOWS\System32\AHDBSHM.EXE C:\WINDOWS\sutufvnsigg.exe |
Zitat:
EDIT: Zitat:
|
jagigyo.exe r varriert, ist staendig anders...poste das neue Log vom HijackThis, ich sage dir, was raus muss |
einzelne "exe" ueberpruefen http://www.virustotal.com/flash/index_en.html Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten C:\WINDOWS\System32\AHDBSHM.EXE C:\WINDOWS\sutufvnsigg.exe |
This is a report processed by VirusTotal on 08/05/2005 at 00:44:11 (CET) after scanning the file "sutufvnsigg.exe" file. Antivirus Version Update Result AntiVir 6.31.1.0 08.04.2005 no virus found Avast 4.6.695.0 08.04.2005 no virus found AVG 718 08.04.2005 no virus found Avira 6.31.1.0 08.04.2005 no virus found BitDefender 7.0 08.05.2005 no virus found CAT-QuickHeal 7.03 08.05.2005 (Suspicious) - DNAScan ClamAV devel-20050725 08.04.2005 no virus found DrWeb 4.32b 08.04.2005 no virus found eTrust-Iris 7.1.194.0 08.04.2005 no virus found eTrust-Vet 11.9.1.0 08.04.2005 no virus found Fortinet 2.36.0.0 08.04.2005 suspicious F-Prot 3.16c 08.04.2005 no virus found Ikarus 0.2.59.0 08.04.2005 no virus found Kaspersky 4.0.2.24 08.04.2005 no virus found McAfee 4550 08.04.2005 no virus found NOD32v2 1.1186 08.04.2005 no virus found Norman 5.70.10 08.01.2005 no virus found Panda 8.02.00 08.04.2005 no virus found Sophos 3.96.0 08.04.2005 no virus found Sybari 7.5.1314 08.05.2005 no virus found Symantec 8.0 08.04.2005 no virus found TheHacker 5.8.2.080 08.03.2005 no virus found VBA32 3.10.4 08.04.2005 no virus found des andere file such ich grad noch *g* ____________________ neues HiJack Logfile of HijackThis v1.99.1 Scan saved at 00:46:56, on 05.08.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\faaehm.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe F:\Eigene Dateien\Downloads\Software\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [eblmnu] C:\WINDOWS\system32\faaehm.exe r O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ? O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409 O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1123180262921 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C29E71D0-68BE-43F4-9EFC-FEF95AFE1CE5}: NameServer = 192.168.0.1 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe |
mir ist nicht wohl dabei, die exe zu loeschen, allerdings ist sie nirgens verzeichnet...es gibt sie nicht. wir loeschen mal noch nicht, sondern warten die Virenscanner ab. |
This is a report processed by VirusTotal on 08/05/2005 at 00:44:11 (CET) after scanning the file "sutufvnsigg.exe" file. Antivirus Version Update Result AntiVir 6.31.1.0 08.04.2005 no virus found Avast 4.6.695.0 08.04.2005 no virus found AVG 718 08.04.2005 no virus found Avira 6.31.1.0 08.04.2005 no virus found BitDefender 7.0 08.05.2005 no virus found CAT-QuickHeal 7.03 08.05.2005 (Suspicious) - DNAScan ClamAV devel-20050725 08.04.2005 no virus found DrWeb 4.32b 08.04.2005 no virus found eTrust-Iris 7.1.194.0 08.04.2005 no virus found eTrust-Vet 11.9.1.0 08.04.2005 no virus found Fortinet 2.36.0.0 08.04.2005 suspicious F-Prot 3.16c 08.04.2005 no virus found Ikarus 0.2.59.0 08.04.2005 no virus found Kaspersky 4.0.2.24 08.04.2005 no virus found McAfee 4550 08.04.2005 no virus found NOD32v2 1.1186 08.04.2005 no virus found Norman 5.70.10 08.01.2005 no virus found Panda 8.02.00 08.04.2005 no virus found Sophos 3.96.0 08.04.2005 no virus found Sybari 7.5.1314 08.05.2005 no virus found Symantec 8.0 08.04.2005 no virus found TheHacker 5.8.2.080 08.03.2005 no virus found VBA32 3.10.4 08.04.2005 no virus found Die AHDBSHM.EXE find ich auf der ganzen C:\ nicht mehr :( |
das muss raus und dann auch mit der Killbox geloescht werden F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O4 - HKLM\..\Run: [eblmnu] C:\WINDOWS\system32\faaehm.exe r |
Die anderen Dateien, die du vorhin genannt hast, auch noch mit KillBox wegmachen, schätz ich, oder? |
C:\WINDOWS\system32\bnalbe.exe C:\WINDOWS\system32\DrPMon.dll C:\WINDOWS\system32\faaehm.exe C:\WINDOWS\Nail.exe C:\WINDOWS\System32\AHDBSHM.EXE C:\WINDOWS\svcproc.exe |
k .. nailfix auch ausgeführt. Nach dem reboot hat er mir nun gesagt, dass er die nail.exe nicht finden konnte .. ich soll doch überprüfen, ob der pfad richtig ist ... bla bla ... die scheint also weg zu sein ... jetzt noch ewido und nochmal hijack ... *pust* :) |
+ Erstellt am: 01:37:58, 05.08.2005 + Report-Checksumme: E0384B8A + Scanergebnis: HKU\S-1-5-21-220523388-1979792683-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{36A59337-6EEF-40AE-94B1-ED443A0C4740} -> Spyware.BetterInternet : Gesäubert mit Backup C:\!Submit\Nail.exe -> Adware.BetterInternet : Gesäubert mit Backup C:\Dokumente und Einstellungen\Asgir\Cookies\asgir@abetterinternet[1].txt -> Spyware.Cookie.Abetterinternet : Gesäubert mit Backup C:\Programme\AVPersonal\INFECTED\POLLER.EXE.001 -> Adware.BetterInternet : Gesäubert mit Backup C:\Programme\AVPersonal\INFECTED\POLLER.EXE.VIR -> Adware.BetterInternet : Gesäubert mit Backup C:\WINDOWS\system32\__delete_on_reboot__DrPMon.dll -> Adware.BetterInternet : Gesäubert mit Backup ::Report Ende Logfile of HijackThis v1.99.1 Scan saved at 01:39:36, on 05.08.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\WINDOWS\system32\rnkkhq.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\iPod\bin\iPodService.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\securitysuite.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Mozilla Firefox\firefox.exe F:\Eigene Dateien\Downloads\Software\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [nufjtn] C:\WINDOWS\system32\rnkkhq.exe r O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ? O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409 O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1123180262921 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C29E71D0-68BE-43F4-9EFC-FEF95AFE1CE5}: NameServer = 192.168.0.1 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe :headbang: |
|
@ Asgir fixe mit dem HijackThis: F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O4 - HKLM\..\Run: [nufjtn] C:\WINDOWS\system32\rnkkhq.exe r O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe ----------------------------------------------------------------------- schau auf dieser Seite, wie man die SvcProc-Eintraege in der Registry loeschen kann. Ich habe es dort genau erklaert http://nikita.eddys-domain.de/Artikel/spyware/nail.html Start- Ausfuehren-regedit HKEY_LOCAL_MACHINE -Software -Microsoft Windows NT -CurrentVersion -Winlogon Shell = "explorer.exe loeschen--> C:\WINDOWS\Nail.exe HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcProc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc Sollte man Probleme haben, die Einträge zu löschen Klicke auf Bearbeiten--Berechtigung und klicke dann auf Vollzugriff --[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen. PC neustarten der Link zu ABIRemove http://andymanchesta.com/Downloads/ABIremover.zip Hier nun die Schritt für Schritt Anleitung: 1. Downloade den Remover (angehängt) und speichere ihn auf deinem Desktop 2. Downloade (wenn nicht schon passiert) die neueste Hijackthis Version und entpacke sie in ihren eigene Ordner 3. Starte im abgesicherten Modus neu, starte dort keine anderen Programme, kein Internet Explorer oder ähnliches 4. Starte den ABIRemover.exe, drücke install, warte (explorer fenster verschwindet kurz) 5. starte direkt neu und erneut in den abgesicherten Modus 6. Fixe den Zufallsschlüssel in der Registry mit Hijackthis (sieht in etwa so aus: C:\WINDOWS\system32\rnkkhq.exe) und lösche die Datei in deinem System32 Ordner. <Wende noch einmal Nail.fix an <mache einen Onlinescan mit Panda (berichte vom SCan) http://nikita.eddys-domain.de/onlinescan.html <dann poste das neue Log vom HijackThis ;) |
Panda hat nichts gefunden :D ----- Logfile of HijackThis v1.99.1 Scan saved at 12:37:21, on 05.08.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\cisvc.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE F:\Eigene Dateien\Downloads\Software\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ? O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409 O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1123180262921 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/actives...ree/asinst.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C29E71D0-68BE-43F4-9EFC-FEF95AFE1CE5}: NameServer = 192.168.0.1 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe auch wenn ich nicht wirklich Plan hab, hab ich das Gefühl, dass das logfile besser auschschaut las vorher :)) |
Hallo@ Asgir Es ist alles sauber, das hast du gut gemacht ;) das ist ein effektiver Waechter http://nikita.eddys-domain.de/ms.html Gruss |
Dann möcht ich mich nochmal vielmals für deine endlose Geduld bedanken :) Bin froh, dass es so Leute gibt, wie dich und da bin ich sicher nicht alleine. :heilig: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:31 Uhr. |
Copyright ©2000-2025, Trojaner-Board