Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   bullseye, wie wird man den mist los? win2000 (https://www.trojaner-board.de/8201-bullseye-man-mist-los-win2000.html)

bullseysetohelll 07.10.2004 16:42
bullseye, wie wird man den mist los? win2000
 
"hijackthis" hat folgendes log erstellt:

--------
--------
Logfile of HijackThis v1.97.7
Scan saved at 17:24:37, on 07.10.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\cdplayer.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINNT\System32\internat.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\Programme\BullsEye Network\bin\bargains.exe
C:\PROGRA~1\mozilla.org\Mozilla\Mozilla.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Microsoft ActiveSync\WCESMgr.exe
C:\Downloads\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.begin2search.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.begin2search.com/sidesearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINNT\SYSTEM32\winb2s32.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINNT\System32\nvms.dll
O2 - BHO: (no name) - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINNT\System32\mscb.dll
O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINNT\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINNT\SYSTEM32\winb2s32.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O5 "LPT1:" /M "Stylus C82"
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [explorer] C:\WINNT\system32\explorer.exe -go -c7 -w3
O4 - HKLM\..\Run: [DeluxeCD] C:\WINNT\system32\cdplayer.exe -tray
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Your PC is infected with Spyware - click here to fix your PC (HKLM)
O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{30EA6C12-B2D2-471B-904E-30CF6CF1D648}: NameServer = 205.188.146.146
------
------

was ist nun zu tun?

gruss und vielen dank schonmal

Cidre 07.10.2004 17:35
Hallo,

lade die neue Version 1.98.2 von HJT und poste danach ein neues Log-File.
http://www.chip.de/downloads/c_downloads_11353576.html

bullseysetohelll 07.10.2004 18:11
Hallo!

Du bist ja wirklich unermuedlich in Deiner Hilfe fuer Andere.
Supercool!

das neue logfile leutet nun:



------
------
Logfile of HijackThis v1.98.2
Scan saved at 19:06:17, on 07.10.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\cdplayer.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINNT\System32\internat.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\Programme\BullsEye Network\bin\bargains.exe
C:\PROGRA~1\mozilla.org\Mozilla\Mozilla.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Microsoft ActiveSync\WCESMgr.exe
C:\Downloads\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.begin2search.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.begin2search.com/sidesearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINNT\SYSTEM32\winb2s32.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINNT\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINNT\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINNT\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINNT\SYSTEM32\winb2s32.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O5 "LPT1:" /M "Stylus C82"
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [explorer] C:\WINNT\system32\explorer.exe -go -c7 -w3
O4 - HKLM\..\Run: [DeluxeCD] C:\WINNT\system32\cdplayer.exe -tray
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: Your PC is infected with Spyware - click here to fix your PC - {FB74C951-ACA1-4e33-A94C-A9261EB2CCB7} - https://www.spydeleter.com/order2.php?KBID=1062 (file missing)
O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{30EA6C12-B2D2-471B-904E-30CF6CF1D648}: NameServer = 205.188.146.146

----------
----------

Gruss und herzlichen Dank!

*Christian* 07.10.2004 18:17
Unbedingt www.windowsupdate.com und alle Patches und Updates installieren.

Deinstalliere:
C:\Programme\BullsEye Network\bin\bargains.exe

Lösche diese Dateien im abgesicherten Modus:
C:\WINNT\SYSTEM32\winb2s32.dll
C:\WINNT\System32\nvms.dll
C:\WINNT\System32\mscb.dll
C:\WINNT\System32\msbe.dll




Danach fixe mit HijackThis dies:


R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.begin2search.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.begin2search.com/sidesearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/sidesearch.html
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINNT\SYSTEM32\winb2s32.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINNT\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINNT\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINNT\System32\msbe.dll
O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107}
- C:\WINNT\SYSTEM32\winb2s32.dll
O4 - HKLM\..\Run: [explorer] C:\WINNT\system32\explorer.exe -go -c7 -w3
O4 - HKLM\..\Run: [DeluxeCD] C:\WINNT\system32\cdplayer.exe -tray
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Your PC is infected with Spyware - click here to fix
your PC - {FB74C951-ACA1-4e33-A94C-A9261EB2CCB7} -
https://www.spydeleter.com/order2.php?KBID=1062 (file missing)

bullseysetohelll 07.10.2004 19:58
Hallo Christian!

vielen Dank fuer die tips.

der internet-explorer gibt jetzt schonmal ruhe.
die nervigen spam-links sind entfernt und er versucht nicht mehr sich automatisch insistierend einzuwaehlen.
ein fortschritt!!!!

bullseyes-network liess sich allerdings nicht beirren und installiert sich bei jeden neustart neu.
es nervt.

was kann man noch machen?

gruss!

*Christian* 07.10.2004 20:39
Lösche die Datei C:\Programme\BullsEye Network\bin\bargains.exe im abgesicherten Modus.

Danach kannst du auch den Ordner löschen.

Poste anschließend ein neues Log von HijackThis.

bullseysetohelll 08.10.2004 17:55
Hallo Christian!

das mit dem loeschen des ordners, bzw. dessen inhalt ist nicht das problem:
das haut hin.
problem ist, das sich das programm bei jedem(!!) neustart neu installiert.
und daran hat sich bis jetzt auch nix geaendert.

ich poste mal die aktuellen hijackthis-logs:


-------
[1] im abgesicherten modus nach dem fixing:


Logfile of HijackThis v1.98.2
Scan saved at 18:29:17, on 08.10.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\Downloads\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O5 "LPT1:" /M "Stylus C82"
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [DeluxeCD] C:\WINNT\system32\cdplayer.exe -tray
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: Your PC is infected with Spyware - click here to fix your PC - {FB74C951-ACA1-4e33-A94C-A9261EB2CCB7} - https://www.spydeleter.com/order2.php?KBID=1062 (file missing)
O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll



[2] im normalen modus nach neustart:


Logfile of HijackThis v1.98.2
Scan saved at 18:39:30, on 08.10.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINNT\system32\cdplayer.exe
C:\WINNT\System32\internat.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\mozilla.org\Mozilla\Mozilla.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\Programme\BullsEye Network\bin\bargains.exe
C:\Downloads\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINNT\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINNT\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINNT\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O5 "LPT1:" /M "Stylus C82"
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [DeluxeCD] C:\WINNT\system32\cdplayer.exe -tray
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: Your PC is infected with Spyware - click here to fix your PC - {FB74C951-ACA1-4e33-A94C-A9261EB2CCB7} - https://www.spydeleter.com/order2.php?KBID=1062 (file missing)
O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll

--------
--------


es ist echt zum verzweifeln mit dem scheiss.
ich frage mich, wo die anweisung zum installieren dieses muells liegt?!

folgende anweisung liess sich uebrigens nicht(!) mit "hijackthis" fixen:
O9 - Extra button: Your PC is infected with Spyware - click here to fix your PC - {FB74C951-ACA1-4e33-A94C-A9261EB2CCB7} -

gruss und schoenes wochenende!
bin erst montag wieder online

roland

Cidre 08.10.2004 19:47
Wechsle in den abgesicherten Modus:

Deinstallie unter Software => BullsEye Network

Lösche diese Dateien:
Ordner C:\Programme\BullsEye Network
C:\WINNT\System32\nvms.dll
C:\WINNT\System32\mscb.dll
C:\WINNT\System32\msbe.dll

Fixe diese Einträge:
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINNT\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINNT\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINNT\System32\msbe.dll
O9 - Extra button: Your PC is infected with Spyware - click here to fix your PC - {FB74C951-ACA1-4e33-A94C-A9261EB2CCB7} - https://www.spydeleter.com/order2.php?KBID=1062 (file missing)

Scanne mit eScan und entferne die infizierten Dateien manuell, wie hier beschrieben:
http://www.trojaner-board.de/42731-escan-anleitung.html

*Christian* 08.10.2004 19:49
Gibt's doch nicht ...

Du hast es auch nicht so gemacht, wie ich es dir gesagt hatte.
Einge Einträge sind immernoch nicht gefixt bzw. Dateien gelöscht.

Hole dies bitte nach.

Danach postest du nochmal ein neues Log.

merterhenz 08.10.2004 20:00
Hi Christian,

ich hab ein ähnliches Problem wie BETH - in "klebriges Bullseye" hab ich auch mal nen vorher (nach Ad-Aware und HijackThis im abgesicherten Modus) und nachher (nach dem nächsten Neustart) gemacht. Vorher: sauber (glaube ich), nachher ist wieder alles voll.

Viele Grüße,
Thorsten

bullseysetohelll 12.10.2004 17:29
Hallo Christian!
Hallo Cidre!

ich bin zur Zeit noch mit anderen Sachen beschaeftigt.
melde mich spaeter nochmal.

ich habe allerdings alles genauso gemacht, wie Du, Christian, es empfohlen hast.

ich werd dann nochmal die sache mit eScan versuchen und den anderen vorschlaegen von Dir, Cidre.

gruss!

bullseysetohelll 12.10.2004 18:47
Hallo Cidre!

ich hab mal den scan mit eScan durchgefuehrt.
unten folgt das ergebnis.

frage ist:
was kann man davon bedenkenlos entfernen?
in der anleitung steht ja, dass man die "not-a-virus" nicht loeschen muss.

gruss!

p.s.:
O9 - Extra button: Your PC is infected with Spyware - click here to fix your PC - {FB74C951-ACA1-4e33-A94C-A9261EB2CCB7} -
https://www.spydeleter.com/order2.php?KBID=1062 (file missing)

!! diese datei laesst sich uebrigens partout nicht mit HiJackThis entfernen !!




------
------
File C:\WINNT\bxxs5.dll infected by "not-a-virus:AdvWare.BookedSpace.c" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\newdevin.exe infected by "not-a-virus:AdvWare.BookedSpace.c" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\IF01.exe infected by "not-a-virus:AdvWare.Look2Me.n" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\449166.exe infected by "not-a-virus:AdvWare.Beginto.a" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\AANTX.dll infected by "not-a-virus:AdvWare.Toolbar.VB.c" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\exdl.exe infected by "not-a-virus:AdvWare.BargainBuddy.j" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\exul.exe tagged as not-a-virus:RiskWare.PSWTool.EDialer. No Action Taken.
File C:\WINNT\System32\reg6523.exe infected by "not-a-virus:AdvWare.Beginto.a" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\istinstall_154074.exe infected by "TrojanDownloader.Win32.IstBar.er" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\javexulm.vxd tagged as not-a-virus:RiskWare.PSWTool.EDialer. No Action Taken.
File C:\WINNT\System32\mac80ex.idf infected by "not-a-virus:AdvWare.BargainBuddy.i" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\javex80.vxd infected by "not-a-virus:AdvWare.BargainBuddy.j" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\psis80ex.ax infected by "not-a-virus:AdvWare.BargainBuddy.j" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\netut80ex.vxd infected by "not-a-virus:AdvWare.BargainBuddy.j" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\exul3.exe tagged as not-a-virus:RiskWare.PSWTool.EDialer. No Action Taken.
File C:\WINNT\system32\newdevin.exe infected by "not-a-virus:AdvWare.BookedSpace.c" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\IF01.exe infected by "not-a-virus:AdvWare.Look2Me.n" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\449166.exe infected by "not-a-virus:AdvWare.Beginto.a" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\AANTX.dll infected by "not-a-virus:AdvWare.Toolbar.VB.c" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\exdl.exe infected by "not-a-virus:AdvWare.BargainBuddy.j" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\exul.exe tagged as not-a-virus:RiskWare.PSWTool.EDialer. No Action Taken.
File C:\WINNT\system32\reg6523.exe infected by "not-a-virus:AdvWare.Beginto.a" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\istinstall_154074.exe infected by "TrojanDownloader.Win32.IstBar.er" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\javexulm.vxd tagged as not-a-virus:RiskWare.PSWTool.EDialer. No Action Taken.
File C:\WINNT\system32\mac80ex.idf infected by "not-a-virus:AdvWare.BargainBuddy.i" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\javex80.vxd infected by "not-a-virus:AdvWare.BargainBuddy.j" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\psis80ex.ax infected by "not-a-virus:AdvWare.BargainBuddy.j" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\netut80ex.vxd infected by "not-a-virus:AdvWare.BargainBuddy.j" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\exul3.exe tagged as not-a-virus:RiskWare.PSWTool.EDialer. No Action Taken.
File C:\WINNT\bxxs5.dll infected by "not-a-virus:AdvWare.BookedSpace.c" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\II62.tmp infected by "not-a-virus:AdvWare.BetterInternet" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\II22.exe infected by "not-a-virus:AdvWare.BetterInternet" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\DP807615.EXE.VIR infected by "TrojanDownloader.Win32.Lalus" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\II66.TMP.VIR infected by "not-a-virus:AdvWare.BetterInternet" Virus. Action Taken: No Action Taken.
File C:\Programme\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\AOL 9.0a\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

c
-----
-----

Cidre 12.10.2004 21:18
Zitat:
O9 - Extra button: Your PC is infected with Spyware - click here to fix your PC - {FB74C951-ACA1-4e33-A94C-A9261EB2CCB7} -
https://www.spydeleter.com/order2.php?KBID=1062 (file missing)

!! diese datei laesst sich uebrigens partout nicht mit HiJackThis entfernen !!
Start -> Ausführen -> regedit -> Bearbeiten -> Suchen -> FB74C951-ACA1-4e33-A94C-A9261EB2CCB7 eingeben -> Weitersuchen und löschen
ansonsten das hier anwenden:
Zitat:
Launch Notepad, and copy and paste the following into it.

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB74C951-ACA1-4e33-A94C-A9261EB2CCB7}]


Save it as file name: "fixme.reg" (not including the quotes). Save as file type: All files (*.*) and save it on your Desktop.

Then, locate fixme.reg on your Desktop and double-click on it.
You will receive a prompt similar to: "Do you wish to merge the information into the registry?".
Answer 'Yes' and wait for a message to appear similar to "Merged Successfully".

Then run hijackthis again and place a check beside the following item and then click fix checked.
O9 - Extra button: Your PC is infected with Spyware - click here to fix your PC - {FB74C951-ACA1-4e33-A94C-A9261EB2CCB7} - https://www.spydeleter.com/order2.php?KBID=1062 (file missing)
Quelle: http://forums.spywareinfo.com/lofive...hp/t28855.html

Du kannst alle Dateien löschen, bis auf diese:
File C:\Programme\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

bullseysetohelll 14.10.2004 20:51
Hallo!

habe leider erst wieder am naechsten montag zugang zu dem rechner.
bis dahin:

schoenes wochenende!

bullseysetohelll 18.10.2004 19:15
halloechen!

christian, cidre:
herzlichen dank schonmal!!!
der scheiss scheint weg zu sein nach dem manuellen loeschen aufgrund des ergebnisses von eScan.
WHAOO, endlich,
dachte ich!
aber:
der "bullsEye network" ordner taucht immer noch unter systemsteuerung/software auf, findet sich aber nicht mehr durch "dateien suchen".

hat einer ne erklaerung?
issa jez wech, oda nich?

gruss!!!


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:02 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19