|
Spyaxe- noch eins Hallo zusammen. Noch ein Opfer.... ich darf mich "Paulemann" anschließen. Ich habe seit drei Tagen die selben Probleme :mad: (diverse Fehlermeldungen, Umleitung der Homepage:spyaxe; massig PopUps:spyaxe) Kann mir jemand helfen?? Hier meine mit HjjackThis gescannten LogFiles: Logfile of HijackThis v1.99.1 Scan saved at 09:02:29, on 30.11.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\nvctrl.exe C:\WINDOWS\System32\mssearchnet.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Real\RealPlayer\RealPlay.exe C:\PROGRA~1\DAP\DAP.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\SpyAxe\spyaxe.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\SpyAxe\spyaxe.exe C:\Programme\Microsoft Office\Office\Outlook.EXE C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\hjjackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost F2 - REG:system.ini: UserInit=userinit.exe O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\System32\hp71C5.tmp O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll O3 - Toolbar: AltaVista Toolbar - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINDOWS\DOWNLO~1\ALTAVI~1.DLL (file missing) O3 - Toolbar: Big Fish Games - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\Programme\bfgtoolbar\bfgtoolbar.dll (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\System32\1024\ld5615.tmp" /m O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ClearCookies] C:\WINDOWS\cc.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: AltaVista Suche - file://C:\Programme\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextSearch.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Übersetzen - file://C:\Programme\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextTranslation.htm O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe (file missing) O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O15 - Trusted Zone: *.coolwebsearch.com O15 - Trusted Zone: *.searchmeup.com O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM) O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab O16 - DPF: {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} (AltaVista Toolbar) - http://toolbar.altavista.com/app/toolbar/cfg/altavista.cab?r=JASISE O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O20 - Winlogon Notify: gs - C:\WINDOWS\adsldpbd.dll (file missing) O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\fswsclds.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe im Vorraus schon vielen Dank, ich hoffe ich kann auch mal helfen, Luis T. :headbang: |
Servus! Da hast Du ja eine schöne Sammlung! Also, ich wäre ja der Meinung, dass Du besser beraten wärst, mit einer Neuinstallation einen sauberen Neubeginn zu setzen. Dein nicht aktuelles System hat ja einiges eingefangen und die Zeit zur Entfernung könntest Du mit einer Neuinstallation mit abschließender Absicherung wie in Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=12154 wahrscheinlich viel besser nutzen! Aber ... Arbeite halt mal diese Anleitung durch:http://virus-protect.net/artikel/spyware/spyaxe.html Poste die Logfiles hier! Und update anschließend auf SP2! stupormundi |
@luis trenker #In der Systemsteuerung/software folgende deinstallieren SpyAxe #Lade dir win32delfkil.exe auf dem Desktop speichern. Doppelklick auf win32delfkill.exe, dann auf Installieren, danach wird einen Ordner win32delfkil auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf fix.bat Der Computer wird automatisch neugestartet. #Lade dir SmitfraudFix.zip SmitfraudFix.zip auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 1 und dann Enter,wird ein rapport.txt im Ordner SmitfraudFix erstellt,den Inhalt hier posten. #Scane mit Symantec Security Check ---->klicke auf Viren-erkennung (Virus Detection) dann Start. Downloading ActiveX erlauben,das Ergebnis hier posten. #PC neustarten #Lade dir smitrem.exe ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen. #Lade dir Ewido Security Suite unbeding Update,noch nicht scannen. #lade Adaware, Spybot unbeding Update,noch nicht scannen. #PC neustarten--> abgesicherter Modus Starte das HijackThis "Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken, PC neustarten F2 - REG:system.ini: UserInit=userinit.exe O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\System32\hp71C5.tmp O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\System32\1024\ld5615.tmp" /m O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h O4 - HKCU\..\Run: [ClearCookies] C:\WINDOWS\cc.exe O8 - Extra context menu item: AltaVista Suche - file://C:\Programme\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextSearch.htm O15 - Trusted Zone: *.coolwebsearch.com O15 - Trusted Zone: *.searchmeup.com O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM) O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O20 - Winlogon Notify: gs - C:\WINDOWS\adsldpbd.dll (file missing) O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll #PC neustarten--> abgesicherter Modus Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Loesche: C:\WINDOWS\System32\nvctrl.exe C:\WINDOWS\System32\mssearchnet.exe C:\WINDOWS\System32\hp71C5.tmp C:\WINDOWS\System32\1024\ld5615.tmp C:\WINDOWS\cc.exe c:\ex.cab c:\eied_s7.cab C:\WINDOWS\adsldpbd.dll C:\WINDOWS\system32\st3.dll C:\WINDOWS\System32\1024 C:\Programme\SpyAxe C:\Programme\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextSearch.htm #PC neustarten--> abgesicherter Modus Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen. Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt #PC neustarten--> abgesicherter Modus #Starte Ewido Security Suite mach ein voller Scan (Complete System Scan) #Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen. #Inhalt folgende ordner loeschen: C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen C:\WINDOWS\temp---> Inhalt löschen C:\WINDOWS\Prefetch---> Inhalt löschen #Neue HijackThis Log,den Report des Ewido Scans, den Inhalt der Datei C:\windelf.txt, den rapport.txt von SmitfraudFix,Symantec Security Check Ergebnis & das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten. Gruss Expert |
Vielen Dank expert, bin am abarbeiten.... SmitFraudFix v2.00 Rapport fait à 11:08:26,78 le 30.11.2005 Executé à partir de C:\Dokumente und Einstellungen\s***n\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\ »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32 C:\WINDOWS\system32\hp????.tmp PRESENT ! C:\WINDOWS\system32\ld????.tmp PRESENT ! C:\WINDOWS\system32\mscornet.exe PRESENT ! C:\WINDOWS\system32\mssearchnet.exe PRESENT ! C:\WINDOWS\system32\msvol.tlb PRESENT ! C:\WINDOWS\system32\ncompat.tlb PRESENT ! C:\WINDOWS\system32\nvctrl.exe PRESENT ! C:\WINDOWS\system32\ot.ico PRESENT ! C:\WINDOWS\system32\svchosts.dll PRESENT ! C:\WINDOWS\system32\ts.ico PRESENT ! »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Dokumente und Einstellungen\s****n\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer |
@luis trenker #Neue HijackThis Log,den Report des Ewido Scans, den Inhalt der Datei C:\windelf.txt, den rapport.txt von SmitfraudFix,Symantec Security Check Ergebnis & das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten. Die brauche ich Gruss Expert |
Symantec Security: C:\WINDOWS\internt.exe is infected with Dialer.Generic C:\WINDOWS\q2478984.dll is infected with Download.Trojan C:\WINDOWS\system32\MYVF.0XE is infected with W32.Bugbear@mm C:\WINDOWS\system32\qgplgfp.dll is infected with PWS.Hooker.Trojan C:\WINDOWS\system32\vbsys2.dll is infected with Trojan Horse C:\WINDOWS\system32\WinNB57.dll is infected with Adware.Mirar C:\WINDOWS\Downloaded Program Files\MirarSetup.exe is infected with Adware.Mirar C:\Dokumente und Einstellungen\s****n\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q9CJI165\dia326[1].htm is infected with MHTMLRedir.Exploit C:\Dokumente und Einstellungen\s****n\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4DO3CJKJ\dia326[1].htm is infected with MHTMLRedir.Exploit |
@expert und luis trenker: Zitat:
schade um die viele Zeit! stupormundi |
Zitat:
Gruss Expert |
Grund genug ist hierin zu finden: Zitat:
Und Zeit ist auch ein Faktor - dieses Flicken am System gewährleistet nicht anschließende Sicherheit - ein ordentliches neu Aufsetzen mit anschließender Sicherung gewährleistet das schon (mit einem nicht unerheblichen Lerneffekt) und kostet in der Summe weniger Zeit! stupormundi ~~edit~~servus cronos, schön dass mal jemand der selben Meinung ist :party: cu stupormundi ~~/edit~~ |
@ stupormundi Full Ack! |
Lieber Expert, lieber Stupomunde, lieber Cronos, euere Diskussion ist mir leider zu hoch, was ich brauche sind pragmatische Tipps, das mein PC wieder einigermaßen läuft. Und das ganze in sehr einfacher Rezeptform. Also klicke das, und dann das ......... Die Anweisung von Expert klingen sehr vernünftig und waren auch einigermßen nachvollziehbar (hoffe ich) und wenn ich damit meine Viren und Kollegen loßbin dann habt ihr alle zusammen ein Mineralgetränk auf meine Kosten verdient. Hier jetzt die versammelten LOGFiles, ein Eintrag konnte Spybot nicht löschen: Smitfraud SmitFraudFix v2.00 Rapport fait à 19:35:32,96 le 30.11.2005 Executé à partir de C:\Dokumente und Einstellungen\stefan\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\ »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32 C:\WINDOWS\system32\svchosts.dll PRESENT ! »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Dokumente und Einstellungen\stefan\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer »»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues »»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport smitRem © log file version 2.7 by noahdfear Microsoft Windows XP [Version 5.1.2600] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ 1024 dir msvol.tlb ld****.tmp ncompat.tlb ~~~ Icons in System32 ~~~ ts.ico ot.ico ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN! :) --------------------------------------------------------- ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 14:30:49, 30.11.2005 + Report-Checksumme: CB874E00 + Scanergebnis: HKLM\SOFTWARE\Classes\.s3d -> Spyware.BrilliantDigital : Gesäubert mit Backup HKLM\SOFTWARE\Classes\.s3d\ShellNew -> Spyware.BrilliantDigital : Gesäubert mit Backup HKLM\SOFTWARE\Classes\CLSID\{9A9C9B69-F908-4AAB-8D0C-10EA8997F37E} -> Spyware.NetNucleus : Gesäubert mit Backup HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{669695BC-A811-4A9D-8CDF-BA8C795F261C} -> Spyware.PowerStrip : Gesäubert mit Backup HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{8A0DCBDA-6E20-489C-9041-C1E8A0352E75} -> Spyware.NetNucleus : Gesäubert mit Backup C:\Dokumente und Einstellungen\jonas\Cookies\jonas@a.tfag[1].txt -> Spyware.Cookie.Tfag : Gesäubert mit Backup C:\Dokumente und Einstellungen\stefan\Cookies\stefan@as1.falkag[2].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup C:\Dokumente und Einstellungen\stefan\Cookies\stefan@atdmt[1].txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup C:\Dokumente und Einstellungen\stefan\Cookies\stefan@com[2].txt -> Spyware.Cookie.Com : Gesäubert mit Backup C:\Dokumente und Einstellungen\stefan\Cookies\stefan@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup C:\Dokumente und Einstellungen\stefan\Cookies\stefan@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP142\A0068845.exe -> Spyware.Trymedia : Gesäubert mit Backup C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP144\A0069442.exe -> TrojanDownloader.Zlob.bo : Gesäubert mit Backup C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP145\A0069501.dll -> TrojanDownloader.Delf.h : Gesäubert mit Backup C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP145\A0069536.exe -> TrojanDownloader.Zlob.bl : Gesäubert mit Backup C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP145\A0069537.exe -> TrojanDownloader.Zlob.br : Gesäubert mit Backup C:\System Volume Information\_restore{49E2419C-B47E-42B7-B202-DB3F0F3543DA}\RP145\A0069538.exe -> TrojanDownloader.Zlob.bt : Gesäubert mit Backup C:\WINDOWS\Downloaded Program Files\MirarSetup.exe -> Adware.SaveNow : Gesäubert mit Backup C:\WINDOWS\prflbmsgp32.dll -> TrojanDownloader.Delf.yb : Gesäubert mit Backup C:\WINDOWS\q2478984.dll -> TrojanDownloader.Delf.zu : Gesäubert mit Backup C:\WINDOWS\system32\MYVF.0XE -> Worm.Tanatos-Bugbear : Gesäubert mit Backup C:\WINDOWS\system32\qgplgfp.dll -> Worm.Tanatos.a : Gesäubert mit Backup C:\WINDOWS\system32\vbsys2.dll -> Spyware.Hijacker.Generic : Gesäubert mit Backup C:\WINDOWS\system32\WinNB57.dll -> Spyware.NetNucleus : Gesäubert mit Backup ::Report Ende ************************ * WIN32DELFKIL LOGFILE * ************************ BEFORE RUNNING WIN32DELFKIL *************************** File(s) found in Windows directory ---------------------------------- q2478984.dll adsldpbe.dll cc.exe File(s) found in system32 folder -------------------------------- st3.dll SharedTaskScheduler key ----------------------- SteelWerX Registry Console Tool 1.0 Written by Bobbi Flekman © 2005 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler {438755C2-A8BA-11D1-B96B-00A0C90312E1} REG_SZ Browseui preloader {8C7461EF-2B13-11d2-BE35-3078302C2030} REG_SZ Component Categories cache daemon {1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} REG_SZ st3 {C7CF1142-0785-4B12-A280-B64681E4D45E} REG_SZ z Notify key ---------- subkey st3 is present! subkey gs is present! AFTER RUNNING WIN32DELFKIL ************************** File(s) found in Windows directory ---------------------------------- q2478984.dll File(s) found in system32 folder -------------------------------- SharedTaskScheduler key ----------------------- SteelWerX Registry Console Tool 1.0 Written by Bobbi Flekman © 2005 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler {438755C2-A8BA-11D1-B96B-00A0C90312E1} REG_SZ Browseui preloader {8C7461EF-2B13-11d2-BE35-3078302C2030} REG_SZ Component Categories cache daemon Notify key ---------- Logfile of HijackThis v1.99.1 Scan saved at 19:30:32, on 30.11.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\hjjackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file) O3 - Toolbar: AltaVista Toolbar - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINDOWS\DOWNLO~1\ALTAVI~1.DLL (file missing) O3 - Toolbar: Big Fish Games - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\Programme\bfgtoolbar\bfgtoolbar.dll (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: AltaVista Suche - file://C:\Programme\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextSearch.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Übersetzen - file://C:\Programme\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextTranslation.htm O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe (file missing) O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O15 - Trusted Zone: h**p://awbeta.net-nucleus.com (HKLM) O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} (AltaVista Toolbar) - h**p://toolbar.altavista.com/app/toolbar/cfg/altavista.cab?r=JASISE O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\fswsclds.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe das symantec security check ergebniss finde ich nicht...äh, ich hoffe nicht so dramatisch. und können wir den Sekt aufmachen? Vielen Dank für deine Hilfe, wie gesagt wenn das geklappt hat hast du was bei mir gut..:bussi: Luis |
Das Problem ist, dass die Malware, die du auf dem Rechner hast, deine Tastatureingaben protokolliert und über seine Backdooreigenschaften Dritten den Zugang auf deinen Rechner erlaubt. In einem solche Fall spricht man von Kompromittierung. Selbst durch eine Bereinigung des Systems kann dir keine Sicherheit mehr gewährleistet werden, Grund ist u.a das hier beschriebene. Lies dir auch mal den zweiten Link in meiner Signatur durch. Dir kann hier leider nur zum Neuaufsetzen deines Systems geraten werden.Sichere es vor der ersten Internetverbindung ab, dazu eine Anleitung. Zusatz: Ändere nach dem Neuaufsetzen alle deine Passwörter! |
luis trenker wende Clearprog an http://virus-protect.net/cleanup.html kopiere hier die 4 Textdateien http://virus-protect.net/datfindbat.html ----------------------------------------------------- dann bekommt man das auch (mehr oder weniger) sauber ;) ...wenn du dann auch alle passworte aendern solltest.....der Rat von Chronos ist natuerlich vernuenftiger,als meine Reinigungsversuche ;) |
@luis trenker #Doppelklick auf SmitfraudFix.cmd,dann Taste 2 und dann Enter,wenn diese Frage o/n kommt muss du mit Taste o beatätigen,wird ein rapport.txt im Ordner SmitfraudFix erstellt,den Inhalt hier posten. Danach Taste 3 mit o beatätigen #PC neustarten--> abgesicherter Modus Starte das HijackThis "Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken, PC neustarten O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file) O8 - Extra context menu item: AltaVista Suche - file://C:\Programme\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextSearch.htm O8 - Extra context menu item: Übersetzen - file://C:\Programme\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextTranslation .htm O15 - Trusted Zone: h**p://awbeta.net-nucleus.com (HKLM) #PC neustarten--> abgesicherter Modus Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Loesche:Viele verden nicht vorhanden C:\WINDOWS\system32\svchosts.dll C:\WINDOWS\system32\hp????.tmp C:\WINDOWS\system32\ld????.tmp C:\WINDOWS\system32\mscornet.exe C:\WINDOWS\system32\mssearchnet.exe C:\WINDOWS\system32\msvol.tlb C:\WINDOWS\system32\ncompat.tlb C:\WINDOWS\system32\nvctrl.exe C:\WINDOWS\system32\ot.ico C:\WINDOWS\system32\svchosts.dll C:\WINDOWS\system32\ts.ico C:\WINDOWS\internt.exe C:\WINDOWS\q2478984.dll C:\WINDOWS\system32\MYVF.0XE C:\WINDOWS\system32\qgplgfp.dll C:\WINDOWS\system32\vbsys2.dll C:\WINDOWS\system32\WinNB57.dll C:\Programme\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextSearch.htm C:\Programme\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextTranslation .htm C:\WINDOWS\Downloaded Program Files\MirarSetup.exe C:\Dokumente und Einstellungen\s****n\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen #PC neustarten #Neue HijackThis Log posten PS: Dann die Anweisung von Sabina folgen Gruss Expert |
@ sabina+expert Natürlich ist das vernünftiger und vor allem der richtige Weg! Dir traue ich auch zu einen PC, den du vor dir hast Bereinigen zu können Aber dann muß man auch Netzwerkverkehr analysieren können und um endgültig sicher zu sein und dauernd beobachten. Über Ferndiagnose ist sowas sicherlich nicht möglich und der Zeitfaktor einer vollständigen Bereinigung-insofern das überhaupt möglich ist ohne Prüfsummen- steht wohl in keinem Vergleich zu einem Neuaufsetzen. Ein durch Backdoor kompromittiertes System reinigen zu wollen ist imho weltfremd! |
@all: Schön, dass sich so viele einer Sache und eines Problems annehmen - viele Augen sehen bekanntlich mehr als wenige. Dass aber - wie hier in diesem thread letztlich auf Kosten des Users ein Wettbewerb gestartet wird, wer es nun besser wisse, ist mE nach nicht im Sinne des boards. Über Sinn oder Unsinn der Neuinstallation bei Befall durch Malware mit Backdoorkapazität ist ebenfalls hier schon viel diskutiert worden. Aber - so habe ich es bisher verstanden - das ist nach wie vor Linie dieses Boards, dass derartiger Befall nur mit einer rigorosen Neuinstallation zuverlässig curabel sind. Ich selbst musste schon entsprechende böse Erfahrungen machen, als ich selber andere Alternativen (removal tools, "entferne dies, fixe das") probiert habe und trotzdem schon bald darauf wieder mit den gleichen Problemen kämpfen musste. Die 'best practice' der Neuinstallation als Standard hat sich bewährt. Niemand spricht den regulars (va. hier expert und sabina) die Kompetenz ab, durch Ihr Wissen Maßnahmen vor Ort zu setzen, welche eine manuelle Bereinigung ermöglichen können. Aber in einem derartigen Fall können auch die besten Ratschläge (deren tatsächliche Umsetzung in Ermangelung unmittelbarer Anwesenheit nicht 100% gewährleistet werden kann) keine Garantie für eine Wiederherstellung eines sicheren Zustandes abgeben! Und dass User grundsätzlich lieber einer Anweisung ála "lösche dies, lass das tool laufen und fixe dass und alles ist wieder gut" lieber hören wollen, als "formatiere und installiere Dein System neu, diesmal aber richtig" (Wie auch in diesem Fall) ist verständlich. Das Gefühl, bei jeden Problem ein bißchen was löschen, fixen und hopsasa und alles ist wieder gut, ist wohl angenehmer als sich selbst einzugestehen, im Bereich der Systemwartung vielleicht nachlässig gewesen zu sein oder im I.Net und Mailverkehr sorglos unterwegs gewesen zu sein. Also, wenn von cronos und auch mir ein Vorschlag zum neu Aufsetzen gemacht wird, dann sicher nicht aus Bosheit dem User oder Besserwisserei anderen Regulars gegenüber, sondern weil es Boardlinie ist und letztlich die einzig zuverlässige Methode in einem derartigen Fall. Es gibt genug Foren im I.Net wo die lösch+fix+bastel-Methoden empfohlen werden - mit dem Erfolg, dass die User wieder kommen! Denkt bitte darüber nach! "Ich gebe nie auf" ist zwar löblich und eine richtige Grundeinstellung, muss aber immer im Kontext stimmig sein! stupormundi |
@ stupormundi: Klasse Beitrag!! :daumenhoc cacatoa, dem aus der Seele gesprochen wurde. |
@stupormundi schließe mich cacatoa an:D chaosman:daumenhoc |
ich bleibe in diesem Fall dennoch bei meiner Meinung...nicht jeder will formatieren und auf diesem PC sehe ich keine Malware mit Rootkits, es ist einfach nur Wuermer und Spyware (SpyAxe+ andere liebe Gaeste, aber nichts, was man nicht dauerhaft reinigen koennte.) Allerdings sollte man von vornherein Saeuberungen von PCs ablehen, welche die WindowsUpdates nicht aktualisiert haben, ich trau mich nur nicht, dass so hart zu sagen :kloppen: Denn User mit solchen ungepatchten PCs...kommen bald wieder, auch nach einer erfolgreichen Saeuberung. |
Servus Sabina! Zitat:
Und zur hier gegebenen Empfehlung an den User, neu Aufzusetzen, werde ich kein weiteres Mal Stellung nehmen. Im Übrigen hat die Boardleitung zur "Qualitätssicherung" ja die Gruppe jener Regulars aus dem Kompetenzteam entsprechend gekennzeichnet. Das soll dem User ein Hinweis sein, welcher Empfehlung er im Zweifel folgen sollte. Und uns auch daran zu halten, würde uns "einfachen" Regulars auch gut zu Gesicht stehen (um der Einheitlichkeit des Boards willen). Ein stures Persistieren ist hier nicht angebracht! stupormundi |
Zitat:
In diesem Fall Expert. Es ist schon in Ordnung, wenn jemand, der sich nicht sicher ist, oder nicht weiter kommt, andere um Hilfe bittet. Abgesehen von solchen Aktionen gebe ich dir recht: viele Koeche verderben den Brei :crazy: Allerding bei jeder Malware, die hier auftaucht mit escan zu arbeiten (was ja sehr beliebt ist) oder gleich zum Formatieren zu raten... ist nicht sehr hilfreich. Deshalb arbeite ich gern erst mal mit Erkennungstools, um dann zu entscheiden, ob eine Reinigung sinnvoll ist oder nicht. Also erst mal sehen, ob man die Schadensroutine nachvollziehen kann. Wenn in einem Hilfeboard sofort und immer und stets zum Formatieren geraten wird, wozu existiert es dann? Das Viren usw. das System kompromitieren, weiss man ja inzwischen und wie viele neue Virensignaturen pro Monat gefunden werden...die Zahl ist mir entfallen................ Es kommt also immer auf den ganz spezifischen Fall an. Gruss |
Es nutzt nix - Zitat:
Für mich ist hier EOT stupormundi |
Zitat:
|
Zitat:
Meine deutsche Sprache ist sclescht :D Mit dieseb SpyAxe Infektion bis jetzt sehe ich keinen Grund,daß der PC neuaufsetzen muß & nicht jeder will sen PC formatieren (Mehr mal Formatieren macht die Platte kapput). Wenn ich ihr verstanden haben,ihre Meinung bedeutet,daß mit jeder Viren überfal,muß man eine Formatierung empfohlen ? Nicht immer die Formatierung ist die beste Loesung Gruss Expert |
Zitat:
wir mussen versuchen unsere besten zu tun,Leute zu helfen,PC clean zu kriegen ohne Formatierung! Gruss Expert |
Hallo, nun muss ich auch mal was dazu sagen. die ganze sache ist hier zwar mehr als total fehl am platze aber nun egal. ich bin auch der meinung das man retten soll wenn retten geht. nur es gibt auch fälle in denen man einfach einsehen sollte das es besser wäre das system neu aufzusetzen,wie in diesem fall. denn wenn das eine behoben ist kommt das nächste und unterm strich wäre man dann doch früher oder später beim formatieren. gruß |
Na, na, na Zitat:
"gleich zum Formatieren zu raten"... nicht gleich, aber bei einem Backdoor-Trojaner mit Sicherheit immer. Und das ist wesentlich hilfreicher, als das ewige Rumprobieren und in ewig langen threads wieder neu Rumprobieren und am Schluß ist der Regular überglücklich und stolz, weil er den user vor dem Formatieren gerettet hat. Der wiederum hat überhaupt nichts gelernt; mußte sich kaum mit seinem System befassen und kommt bald wieder, weil er genau so weitermacht, wie bisher. Und genau das ist imho nicht die Linie des TB. Natürlich werde ich mir nicht anmaßen, Deine, Sabina, oder experts Kompetenz anzuzweifeln, jedoch betrachte ich es als etwas einfallslos, regelmäßig per "copy & paste" die gleichen Ratschläge zu posten und ich betrachte es als anstandslos ewig querzuposten und wie besonders gerne von Expert gezeigt, jede Netiquette vermissen zu lassen hinsichtlich der Absprache mit dem Regular, der gerade einen thread bearbeitet. Diese Art von Profilierungssucht, sollten wir alle nicht nötig haben. Und was ist überhaupt mit dem luis trenker und seinem Backdoor-verseuchten System? Hat er hier das gefunden, was er erwartete? Das glaube ich kaum. Regulars, die hier posten, haben aber imo genau dies in der Pflicht. Auch für mich ist hier EOT. Weitere Diskussionen sollten in der "Taverne" weitergeführt werden. cacatoa |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:08 Uhr. |
Copyright ©2000-2025, Trojaner-Board