|
EXP Agent.B Hallo! Ich habe laut AntiVir den Virus EXP Agent.B auf meinem Rechner. Diesen habe ich mit AntiVir gelöscht, aber seitdem stürzt mir ständig der Rechner ab. Poste hier mal die Hijack-Auswertung. Kann mir bitte jemand weiterhelfen? Logfile of HijackThis v1.99.1 Scan saved at 15:39:58, on 19.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\Programme\MSI\BToes Bluetooth Software\bin\btwdins.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\avmwlanstick\wlangui.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\MSI\BToes Bluetooth Software\BTTray.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\silke\Eigene Dateien\Progis\Hijack\HijackThis.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Dokumente und Einstellungen\silke\Eigene Dateien\Progis\Acrobat Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Dokumente und Einstellungen\silke\Eigene Dateien\Progis\Acrobat Reader\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\MSI\BToes Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\BToes Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\BToes Bluetooth Software\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{6451B712-7A58-4F1E-A0A2-C6804022382A}: NameServer = 62.220.18.8 195.202.33.68 O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\MSI\BToes Bluetooth Software\bin\btwdins.exe |
Hallo, kannst du bitte den Fundort des Trojaners nennen? Sonst sieht Dein Log, meiner Meinung nach, sauber aus. Ausser: O17 - HKLM\System\CCS\Services\Tcpip\..\{6451B712-7A58-4F1E-A0A2-C6804022382A}: NameServer = 62.220.18.8 195.202.33.68 Aber damit kenne ich mich net aus und kann Dir net sagen ob das ne Umleitung ist! Da solltest mal warten, was die Leute sagen, die darüber bescheid wissen. Was du aber machen könntest. Nen eScan. Alles dazu gibts hier . Anleitung genau lesen und Raport Posten! Gruß Mellosun |
Vielen Dank erst einmal.... O17 - HKLM\System\CCS\Services\Tcpip\..\{6451B712-7A58-4F1E-A0A2-C6804022382A}: NameServer = 62.220.18.8 195.202.33.68 habe ich schon ein paar mal versucht zu löschen, erscheint aber immer wieder! :headbang: Vielleicht kennt sich damit ja noch jemand aus?! |
mOIn auch, inetnum: 62.220.0.0 - 62.220.31.255 netname: DE-KOMTEL-980316 descr: Versatel Nord-Deutschland GmbH descr: PROVIDER LOCAL REGISTRY country: DE inetnum: 195.202.33.0 - 195.202.33.255 netname: CITYKOM-NET descr: Citykom Muenster GmbH Telekommunikationsservice descr: Roesnerstr. 8 descr: 48155 Muenster, Germany infos von whoisabfrage http://www.iks-jena.de/cgi-bin/whois hoffe ihr könnt mit den Infos was anfangen MFG |
|
Zitat:
Und nein...ich besuche solche Seiten normalerweise nicht, hatte den Link von einer Bekannten bekommen und sollte da mal schauen. :balla: Liegt in der popup[1].htm und noch einer glaube ich. Die Antivir Meldung kommt bei IE6.x, aber bei mir nicht bei Opera@USB. Was genaues über diesen Exploit wäre mal interessant. Gruß Andreas |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:57 Uhr. |
Copyright ©2000-2025, Trojaner-Board