Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Firefox Virus/Wurm (https://www.trojaner-board.de/7983-firefox-virus-wurm.html)

castro 30.09.2004 12:40
Firefox Virus/Wurm
 
hiho

ich habe seit gestern ein prob mit firefox:
immer wenn ich den rechner starte und das erste mal firefox aufrufe wird ein kratzender sound abgespielt und die startseite ist verunstaltet mit irgendwelchen schriften, infoboxen mit irgendwelchen zahlen etc laufen auf der seite vorbei.

ich habe mein pc mit adaware se, norton antivirus 2003 und mit der zone alarm anti virus software gecheckt, es wurden auch immer ein paar viren/spyware gefunden, aber das problem mit firefox hat sich dadurch nicht erledigt :(

dann bin ich hierdrauf gekommen und habe gesehn dass alle leute ein hijackthis logfile posten wenn sie so ein prob haben.
ich weiss zwar nicht was man darauf sehen kann, aber ich hoffe mir kann jemand helfen :confused:


Logfile of HijackThis v1.98.2
Scan saved at 13:37:54, on 30.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Stardock\TrayServer.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\System32\iexplore.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Thrustmaster\Thrustmapper\TMTMTSR.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Creative\SBLive\Diagnostics\diagent.exe
G:\Tools\Wecker\RemindMe.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
G:\Tools\ZoneAlarm\zlclient.exe
C:\Programme\Messenger\msmsgs.exe
G:\Tools\WinZip\WZQKPICK.EXE
G:\Tools\Rainlendar\Rainlendar.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Tools\ICQ2\Icq.exe
C:\Programme\Mozilla Firefox\firefox.exe
G:\TOOLS\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\n3o\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.giga.de/gigagames/index_...,2182,,00.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R3 - Default URLSearchHook is missing
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Tools\AcrobatReader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [1A:Stardock TrayMonitor] "C:\Programme\Gemeinsame Dateien\Stardock\TrayServer.exe"
O4 - HKLM\..\Run: [diagent] C:\Programme\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [WinDSNX] C:\WINDOWS\System32\BROWSELC.exe
O4 - HKLM\..\Run: [spoolm32] iexplore.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ThrustTSR] C:\Programme\Thrustmaster\Thrustmapper\TMTMTSR.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Remind Me] G:\Tools\Wecker\RemindMe.exe -min
O4 - HKLM\..\Run: [System Restore] svcnet.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "G:\Tools\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [spoolm32] iexplore.exe
O4 - HKLM\..\RunServices: [mmtask0] C:\WINDOWS\mmtask0.exe
O4 - HKLM\..\RunServices: [spoolsrv] C:\WINDOWS\system32\spool\winload.exe
O4 - HKCU\..\Run: [System Restore] svcnet.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ] C:\Tools\ICQ2\Icq.exe -trayboot
O4 - Startup: Rainlendar.lnk = G:\Tools\Rainlendar\Rainlendar.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Tools\msOffice\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = G:\Tools\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight - G:\Tools\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - G:\Tools\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Tools\ICQ2\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Tools\ICQ2\ICQ.exe
O9 - Extra button: concept/design's onlineTV - {BE9368D0-C642-4585-9E96-9B65DAB10E1D} - G:\Tools\onlineTV\onlineTV.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697519} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_aac.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC641EF7-27E9-4A07-BAB3-B5AB79C70E9C}: NameServer = 217.237.150.33 217.237.151.161
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll





thx


cya

steveman 30.09.2004 12:51
hi
unbedingt das fixen:

R3 - Default URLSearchHook is missing
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209
sitefinder.verisign.com
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O3 - Toolbar: (no name) - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - (no
file)
O4 - HKLM\..\Run: [WinDSNX] C:\WINDOWS\System32\BROWSELC.exe
O4 - HKLM\..\Run: [spoolm32] iexplore.exe
O4 - HKLM\..\Run: [System Restore] svcnet.exe
O4 - HKLM\..\RunServices: [spoolm32] iexplore.exe
O4 - HKLM\..\RunServices: [spoolsrv] C:\WINDOWS\system32\spool\winload.exe
O4 - HKCU\..\Run: [System Restore] svcnet.exe

Cidre 30.09.2004 13:20
Welche Version des Firefox benutzt du?

Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
Abgesicherter Modus und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.
http://www.mwti.net/antivirus/free_utilities.asp

Danach ein neues Log-File von HiJackThis und die Virus Log Information von eScan posten.

castro 30.09.2004 17:07
ok nachdem ich jetzt fast 3 stunden den escan im sicheren modus habe durchlaufen lassen habe ich jetzt das log file. da es so gross ist habe ich es auf meinen webspace gestellt:
http://rchillers.rc.funpic.de/virus.zip
wenn ihr nicht direkt drauf kommt geht bitte zuerst auf
http://rchillers.rc.funpic.de/ und gebt dann den link zur .zip datei ein.
ich habe mir jetzt auch mal das firefox start problem genauer angeguckt: es ist ein banner auf der seite auf dem steht:
bald ist es soweit..... die eroberung der welt.... am 1. november.
und der ist morgen! ich habe keine lust dass mir irgendwelche dateien evtl gelöscht werden :confused:
das neue hijackthis log file sieht jetzt so aus:



Logfile of HijackThis v1.98.2
Scan saved at 13:37:54, on 30.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Stardock\TrayServer.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\System32\iexplore.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Thrustmaster\Thrustmapper\TMTMTSR.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Creative\SBLive\Diagnostics\diagent.exe
G:\Tools\Wecker\RemindMe.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
G:\Tools\ZoneAlarm\zlclient.exe
C:\Programme\Messenger\msmsgs.exe
G:\Tools\WinZip\WZQKPICK.EXE
G:\Tools\Rainlendar\Rainlendar.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Tools\ICQ2\Icq.exe
C:\Programme\Mozilla Firefox\firefox.exe
G:\TOOLS\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\n3o\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.giga.de/gigagames/index_...,2182,,00.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R3 - Default URLSearchHook is missing
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Tools\AcrobatReader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [1A:Stardock TrayMonitor] "C:\Programme\Gemeinsame Dateien\Stardock\TrayServer.exe"
O4 - HKLM\..\Run: [diagent] C:\Programme\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [WinDSNX] C:\WINDOWS\System32\BROWSELC.exe
O4 - HKLM\..\Run: [spoolm32] iexplore.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ThrustTSR] C:\Programme\Thrustmaster\Thrustmapper\TMTMTSR.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Remind Me] G:\Tools\Wecker\RemindMe.exe -min
O4 - HKLM\..\Run: [System Restore] svcnet.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "G:\Tools\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [spoolm32] iexplore.exe
O4 - HKLM\..\RunServices: [mmtask0] C:\WINDOWS\mmtask0.exe
O4 - HKLM\..\RunServices: [spoolsrv] C:\WINDOWS\system32\spool\winload.exe
O4 - HKCU\..\Run: [System Restore] svcnet.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ] C:\Tools\ICQ2\Icq.exe -trayboot
O4 - Startup: Rainlendar.lnk = G:\Tools\Rainlendar\Rainlendar.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Tools\msOffice\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = G:\Tools\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight - G:\Tools\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - G:\Tools\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Tools\ICQ2\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Tools\ICQ2\ICQ.exe
O9 - Extra button: concept/design's onlineTV - {BE9368D0-C642-4585-9E96-9B65DAB10E1D} - G:\Tools\onlineTV\onlineTV.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697519} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_aac.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC641EF7-27E9-4A07-BAB3-B5AB79C70E9C}: NameServer = 217.237.150.33 217.237.151.161
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll




plz help


thx


cya

Cidre 30.09.2004 17:16
Zitat:
Welche Version des Firefox benutzt du?
Lesen kann manchmal so schwer sein. :eek:

Zitat:
http://rchillers.rc.funpic.de/virus.zip
wenn ihr nicht direkt drauf kommt geht bitte zuerst auf
http://rchillers.rc.funpic.de/ und gebt dann den link zur .zip datei ein.
Bevor ich irgendwelche Dateien öffne und Logs durchwälze, zeigts du Eigeninitiative und postest:
Welche Malware wo gefunden worden ist! Alle Files renamed und deleted!

btw: Dies Einträge die steveman gepostet hat, hast du nicht gefixed.

castro 30.09.2004 17:32
oups, sorry sorry :o

ich habe das falsche logfile gepostet, die einträge von steveman habe ich gelöscht:

Logfile of HijackThis v1.98.2
Scan saved at 17:49:01, on 30.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Stardock\TrayServer.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Thrustmaster\Thrustmapper\TMTMTSR.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Creative\SBLive\Diagnostics\diagent.exe
G:\Tools\Wecker\RemindMe.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
G:\Tools\ZoneAlarm\zlclient.exe
C:\Programme\Messenger\msmsgs.exe
G:\Tools\WinZip\WZQKPICK.EXE
G:\Tools\Rainlendar\Rainlendar.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Dokumente und Einstellungen\n3o\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.giga.de/gigagames/index_...,2182,,00.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Tools\AcrobatReader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [1A:Stardock TrayMonitor] "C:\Programme\Gemeinsame Dateien\Stardock\TrayServer.exe"
O4 - HKLM\..\Run: [diagent] C:\Programme\Creative\SBLive\Diagnostics\diagent.exe startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ThrustTSR] C:\Programme\Thrustmaster\Thrustmapper\TMTMTSR.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Remind Me] G:\Tools\Wecker\RemindMe.exe -min
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "G:\Tools\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Rainlendar.lnk = G:\Tools\Rainlendar\Rainlendar.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Tools\msOffice\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = G:\Tools\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight - G:\Tools\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - G:\Tools\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Tools\ICQ2\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Tools\ICQ2\ICQ.exe
O9 - Extra button: concept/design's onlineTV - {BE9368D0-C642-4585-9E96-9B65DAB10E1D} - G:\Tools\onlineTV\onlineTV.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697519} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_aac.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll





ich benutze mozilla firefox version 0.9.3

das meiste was escan gefunden hat ist ein virus namens "Worm.P2P.Tibick". diese wurden alle in C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985} gefunden und deleted.
dann wurden in \Windows noch ein paar viren gefunden, die allerdings alle gelöscht oder renamed worden sind.


ich suche jetzt schon seit gut einer stunde bei google nach dem virus, habe aber noch nichts gefunden.


ich hoffe ihr könnt mit den infos was anfangen.


thx


cya

MountainKing 30.09.2004 17:51
http://www3.ca.com/securityadvisor/v....aspx?id=39924

Der Schädling bietet begrenzte Bakdoorfunktionen, ein Angreifer kann offensichtlich Dateien auf deinen Rechner herunterladen und ausführen.

castro 30.09.2004 20:04
ok danke, hab mir jetzt mal firefox 1.0PR runtergeladen, dachte zuerst das problem sei gelöst, aber als ich ihn eben aufmachen wollte kam das prob wieder.
wenn das problem auftritt bin ich nicht auf meiner normalen startseite http://www.giga.de/tv/gigagames/ , sonder auf h*tp://www.giga.de/a5T04-Y/index.php . wenn ich so versuche auf die seite zu kommen dann komme ich einfach auf giga.de :confused:

chaosman 30.09.2004 20:56
@castro

dein system sieht sauber aus,
ich nehme mal an, du kennst diese einträge, wenn nicht dann fixe
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697519} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_aac.cab

der Win32.Tibick.A hat aber auch backdoorfunktionen, du solltest dir überlegen ob du nicht lieber dein system neu aufsetzt.
es könnte schon kompromittiert sein
http://www.mathematik.uni-marburg.de...ompromise.html
überlege es dir bitte gut
chaosman


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19