|
Kann mir bitte jemand helfen ? Habe AntiVir über meinen PC laufen lassen. Er zeigte mir an Warnungen 7 Gefunden 2. Letzter Fund: TR/Hijack.MulltiPP. Infizierte Datein in Archiven können von ihm aber nicht gelöscht oder repariert werden. Hier ist die Auswertung von dem Logfile: Logfile of HijackThis v1.98.2 Scan saved at 21:39:40, on 28.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ahead\InCD\InCD.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe D:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\rundll32.exe D:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\awdfmsxu.exe C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe D:\Programme\AVPersonal\AVGUARD.EXE D:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe D:\Programme\Opera7\Opera.exe D:\Gabi\Viren usw\HijackThis.exe O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [eZWO] C:\PROGRA~1\Web Offer\wo.exe O4 - HKCU\..\Run: [zersepvi] C:\WINDOWS\system32\aatqaur.exe k:zersepvi: O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\system32\awdfmsxu.exe O4 - HKCU\..\Run: [XPCLEAN] D:\Programme\XPcleanv5\xpclean.exe /s O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: HomeNet Control.lnk = ? O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096908058593 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{25C360E1-99BD-4026-9A34-0FF1D6D885B8}: NameServer = 217.237.151.97 217.237.150.33 Habe auch eine automatische Auswertung dieses Logfiles machen lassen. Das sieht ja gar nicht so gut aus. Bin leider kein PC-Profi. Habe versucht diese Dateien oder wie man sie auch immer nennt zu fixen, funktioniert aber nicht. Diese bleiben drinnen. Habe auch Spybot Search Destroy 1.3 rüberlaufen lassen, dieser zeigt mir aber auch nichts an. Viele Grüße Gabi |
|
Hi Gabme , im abgesicherten Modus eScan durchführen,allerdings vorher Systemwiederherstellung deaktivieren. |
Hi Chucky, seit ich den Newdot beseitigt habe, komme ich nicht mehr ins Internet. Sitze gerade an einem PC einer Freundin. Hat das ganze etwas mit dem beseitigen des Newdot zu tun? Ich werde noch wahnsinnig. Opera sagt mir Hauptidentität (Pop.t-online.de). Der Pop 3 Server ist nicht erreichbar. Liegt eventuelle in Netzwerkproblem vor? T-Online zeigt mir zwar die Verbindung an, aber irgendwie kommt keine Verbindung mit dem Opera zustande. Kann es leider nicht anders ausdrücken? Im abgesicherten Modus eScan durchführen. Wie macht man das? Wie oben schon gesagt, so eine große PC-Leuchte bin ich nun auch wieder nicht. Was muß ich denn machen, damit ich wieder ins Internet komme. Bin seit Freitag Abend schon ganz krank. Viele Grüße Gabi |
LSP reparieren: http://www.cexx.org/lspfix.htm |
Ich kann doch kein englisch. Kann ich da etwas verkehrt machen? |
Eigentlich nicht, das was rechts steht unter remove solltest du entfernen, dann müsste der Zugang wieder gehen. Erstelle dann bitte ein neues Logfile. |
Ich könnt die ganze Welt umarmen. Ich komme wieder ins Internet. Vielen, vielen Dank für den Tip. Ich könnt die Welt umarmen. Aber was mache ich jetzt mit den anderen Sachen. Hilft mir da auch noch jemand? Grüße Gabi |
Hier ist das neue Logfile: Logfile of HijackThis v1.98.2 Scan saved at 18:34:34, on 30.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Program Files\ahead\InCD\InCD.exe C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe D:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRA~1\Web Offer\wo.exe C:\WINDOWS\system32\awdfmsxu.exe C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe D:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\explorer.exe D:\Gabi\Viren usw\HijackThis.exe O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [eZWO] C:\PROGRA~1\Web Offer\wo.exe O4 - HKCU\..\Run: [zersepvi] C:\WINDOWS\system32\aatqaur.exe k:zersepvi: O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\system32\awdfmsxu.exe O4 - HKCU\..\Run: [XPCLEAN] D:\Programme\XPcleanv5\xpclean.exe /s O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: HomeNet Control.lnk = ? O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096908058593 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/S.../bin/cabsa.cab |
Schau mal zunächst, ob du Weboffer deinstallieren kannst. E-Scan herunterladen und updaten: http://www.trojaner-board.de/42731-escan-anleitung.html Systemwiederherstellung deaktivieren, in den abgesicherten Modus booten: http://www.bsi.bund.de/av/texte/wiederher_xp.htm Schicke: C:\WINDOWS\system32\awdfmsxu.exe bitte mit einem Link zu diesem Thread an: partytime-germany.ice@web.de Checke die Datei danach hier: http://virusscan.jotti.org/de Mit Hijackthis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken): O4 - HKCU\..\Run: [eZWO] C:\PROGRA~1\Web Offer\wo.exe O4 - HKCU\..\Run: [zersepvi] C:\WINDOWS\system32\aatqaur.exe k:zersepvi: O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\system32\awdfmsxu.exe Lösche die in den Einträgen genannten Dateien, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge. |
Werde das ganze gleich mal ausprobieren. Sobald ich es habe, melde ich mich wieder. |
Weboffer habe ich deinstalliert. Mit HijackThis habe ich nur das letzte fixen können, die ersten beiden habe ich nicht (oder nicht mehr gefunden). Den E-Scan habe ich mir auch runtergeladen und im abgesicherten Modus rüberlaufen lassen. Sorry ich weiss aber nicht, wie man die gefunden Dateien kopieren kann. Und das mwav.log ist ja so lange, da sieht man welche Dateien er alles durchsucht hat. Das kann es ja nicht sein was ich einstellen soll. Kannst du mir bitte sagen, wie man das macht. Die Datei C.\windows\system32\awdfmsxu.exe habe ich die angegebene Mailadresse gesandt, mit dem Link zu diesem Tread. Anschließend habe ich auch unter virusscan.jotto.dhs.org die Datei prüfen lassen. Wie ich schon gesagt hae, ich kann nur sehr wenig Englisch. Bis auf NOD 32 und Norman virus control sagten alle anderen no viruses found. Bei NOD 32steht probably unknown NewHeur_PE (probable variant) (3,12 seconds taken). Und bei Norman virus controll steht so viel. Ich weiss ja nicht was das zu bedeuten hat. Hier noch mal das neue Logfile Logfile of HijackThis v1.98.2 Scan saved at 21:50:54, on 30.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ahead\InCD\InCD.exe C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe D:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe D:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\wscntfy.exe D:\Programme\Opera7\Opera.exe D:\Gabi\Viren usw\HijackThis.exe O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [XPCLEAN] D:\Programme\XPcleanv5\xpclean.exe /s O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: HomeNet Control.lnk = ? O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096908058593 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{25C360E1-99BD-4026-9A34-0FF1D6D885B8}: NameServer = 217.237.151.97 217.237.150.33 Ich kann das ganze leider nicht anders erklären. Sorry |
SO, jetzt weiss ich wie man kopiert: Das steht bei Norman virus controll: Sandbox: W32/Malware; [ General information ] * File length: 46305 bytes. [ Changes to filesystem ] * Creates file C:\WINDOWS\SYSTEM\caac.exe. * Deletes file c:\sample.exe. [ Changes to registry ] * Creates value "JavaUpdate0.07"="C:\WINDOWS\SYSTEM\caac.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run". * Deletes value "Tsa" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run". [ Network services ] * Looks for an Internet connection. * Connects to "218.65.86.24" on port 80 (TCP). [ Security issues ] * Possible backdoor functionality [UNKNOWN] port 24678. [ Process/window information ] * Enumerates running processes. * Enumerates running processes several parses.... * Will automatically restart after boot (I'll be back...). * Attemps to Open C:\COMMAND.COM NULL. (16.63 seconds taken) |
Kann mir bitte jemand sagen, wie ich die Informationen von eScan angezeigten Schädlinge kopieren kann, damit ich diese hier einstellen kann. Schon mal Danke im voraus |
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:19 Uhr. |
Copyright ©2000-2025, Trojaner-Board