|
easy-search.biz Auch ich habe mir diesen Virus eingefangen. Er ändert wie bekannt meine Startseite (ad-aware und co sind machtlos...) außerdem werden meine proxy-einstellungen geändert (auch hier können ad-aware etc nichts tun) desweiteren stürzt der Rechner alle halbe Stunde mal ab... Vielen Dank im vorraus und ...SHOOT IT TILL IT BLEEDS... :snyper: So sieht mein Hijack-logfile aus:: Logfile of HijackThis v1.98.2 Scan saved at 15:22:07, on 29.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\KEN!\kentbcli.exe D:\Programme\NetPumper\NetPumperIEProxy.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe D:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\stisvsq.exe C:\WINDOWS\svshost.exe C:\WINDOWS\msqdevl.exe C:\WINDOWS\lssas.exe C:\WINDOWS\mservice.exe C:\WINDOWS\iau.exe C:\Programme\KEN!\KENCLI.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Internet Explorer\IEXPLORE.EXE D:\Programme\Hijack This\HijackThis.exe C:\Programme\Microsoft Office\Office\WINWORD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {63480817-9C3F-4B95-9627-6BD065EE328F} - C:\WINDOWS\System32\khg.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - D:\Programme\ReGetDx\iebar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe" O4 - HKLM\..\Run: [NetPumper] "D:\Programme\NetPumper\NetPumperIEProxy.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Microsoft Internet Acceleration Utility] iau.exe O4 - HKLM\..\Run: [Internet Connection Wizard] stisvsq.exe O4 - HKLM\..\Run: [Games Acceleration] svshost.exe O4 - HKLM\..\Run: [Internet Mail and News] msqdevl.exe O4 - HKLM\..\Run: [Microsoft Management Console] lssas.exe O4 - HKLM\..\Run: [Multimedia extensions] mservice.exe O4 - HKCU\..\Run: [Microsoft Internet Acceleration Utility] iau.exe O4 - HKCU\..\Run: [Internet Connection Wizard] stisvsq.exe O4 - HKCU\..\Run: [Games Acceleration] svshost.exe O4 - HKCU\..\Run: [Internet Mail and News] msqdevl.exe O4 - HKCU\..\Run: [Microsoft Management Console] lssas.exe O4 - HKCU\..\Run: [Multimedia extensions] mservice.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm O8 - Extra context menu item: Download with NetPumper - D:\Programme\NetPumper\AddUrl.htm O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe |
@MrRockIt dein system ist nicht auf den neuesten stand, bitte sofort updaten Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) du hast der hier im system http://uk.trendmicro-europe.com/ente...BOT.YT&VSect=T C:\WINDOWS\svshost.exe überprüfe diese dateien online http://virusscan.jotti.org/de C:\WINDOWS\stisvsq.exe C:\WINDOWS\svshost.exe C:\WINDOWS\msqdevl.exe C:\WINDOWS\lssas.exe C:\WINDOWS\mservice.exe C:\WINDOWS\iau.exe und poste das ergebnis chaosman |
Danke erstmal chaosman (bleib am Ball :daumenhoc ) Die Dateien sind wohl alle infiziert. Ich habe versucht sie zu löschen, was unmöglich ist da sich ständig erneuern. SVCHOST.EXE wird 5 mal als Prozess angezeigt, 2 mal ist der Benutzername SYSTEM; 1 mal NETZWERKDIENST; 1 mal LOKALER DIENST; 1 mal der Name des PCs... Was bedeutet das, dass der Prozess 5 mal da ist? Die anderen Dateien werden ebenfalls als Prozesse angezeigt und sind ebenfalls nicht zu löschen. Ärgerlich ist auch das sie zusammen ca. 50MB Speicher belegen. Hier sind erstmal die Ergebnisse des Scans der vorgeschlagenen Seite:: File: stisvsq.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: UPX AntiVir TR/Dldr.Small.UV.3 (1.21 seconds taken) Avast No viruses found (4.55 seconds taken) BitDefender Trojan.Spy.Small.BJ (2.59 seconds taken) ClamAV Trojan.Startpage-104 (6.21 seconds taken) Dr.Web Trojan.Gamesas (8.57 seconds taken) F-Prot Antivirus W32/Small.P@bd (0.66 seconds taken) Kaspersky Anti-Virus TrojanSpy.Win32.Small.bj (9.41 seconds taken) mks_vir Trojan.Trojanspy.Small.Bj (3.24 seconds taken) NOD32 No viruses found (5.63 seconds taken) Norman Virus Control No viruses found (7.15 seconds taken) File: svshost.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: UPX AntiVir TR/Dldr.Small.UV.3 (4.52 seconds taken) Avast No viruses found (1.62 seconds taken) BitDefender Trojan.Spy.Small.BJ (8.95 seconds taken) ClamAV Trojan.Startpage-104 (16.16 seconds taken) Dr.Web Trojan.Gamesas (17.20 seconds taken) F-Prot Antivirus W32/Small.P@bd (1.79 seconds taken) Kaspersky Anti-Virus TrojanSpy.Win32.Small.bj (18.52 seconds taken) mks_vir Trojan.Trojanspy.Small.Bj (6.51 seconds taken) NOD32 No viruses found (10.82 seconds taken) Norman Virus Control No viruses found (7.69 seconds taken) File: msqdevl.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: UPX AntiVir TR/Dldr.Small.UV.3 (4.85 seconds taken) Avast No viruses found (13.75 seconds taken) BitDefender Trojan.Spy.Small.BJ (9.90 seconds taken) ClamAV Trojan.Startpage-104 (9.32 seconds taken) Dr.Web Trojan.Gamesas (6.92 seconds taken) F-Prot Antivirus W32/Small.P@bd (0.38 seconds taken) Kaspersky Anti-Virus TrojanSpy.Win32.Small.bj (5.13 seconds taken) mks_vir Trojan.Trojanspy.Small.Bj (1.61 seconds taken) NOD32 No viruses found (2.61 seconds taken) Norman Virus Control No viruses found (3.53 seconds taken) File: lssas.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: UPX AntiVir TR/Dldr.Small.UV.3 (7.14 seconds taken) Avast No viruses found (5.98 seconds taken) BitDefender Trojan.Spy.Small.BJ (7.84 seconds taken) ClamAV Trojan.Startpage-104 (9.54 seconds taken) Dr.Web Trojan.Gamesas (12.70 seconds taken) F-Prot Antivirus W32/Small.P@bd (1.00 seconds taken) Kaspersky Anti-Virus TrojanSpy.Win32.Small.bj (14.12 seconds taken) mks_vir Trojan.Trojanspy.Small.Bj (6.02 seconds taken) NOD32 No viruses found (11.52 seconds taken) Norman Virus Control No viruses found (10.35 seconds taken) File: mservice.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: UPX AntiVir TR/Dldr.Small.UV.3 (2.45 seconds taken) Avast No viruses found (2.42 seconds taken) BitDefender Trojan.Spy.Small.BJ (7.64 seconds taken) ClamAV Trojan.Startpage-104 (9.12 seconds taken) Dr.Web Trojan.Gamesas (12.68 seconds taken) F-Prot Antivirus W32/Small.P@bd (1.07 seconds taken) Kaspersky Anti-Virus TrojanSpy.Win32.Small.bj (13.92 seconds taken) mks_vir Trojan.Trojanspy.Small.Bj (5.71 seconds taken) NOD32 No viruses found (12.18 seconds taken) Norman Virus Control No viruses found (10.39 seconds taken) Gleich werde ich Windows XP und den IE updaten. Wie soll ich dann vorgehen um den Wurm zu entfernen? |
Kannst du mal eine Datei in ein Archiv packen, mit Passwort versehen und an partytime-germany.ice@web.de schicken? Danke. Ich empfehle dir jedoch dies: 1.) Neu formatieren und installieren 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren 4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org 5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren 6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen 7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X) 8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können 9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen 10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten |
Das hört sich aber nicht gut an alles neu zu installieren da ich das erst vor 3 Wochen gemacht habe....... Gibt es keine andere Möglichkeit den Wurm loszuwerden??? Wozu soll ich dir eine der Dateien schicken??? was ich natürlich machen könnte... |
Wenn du es erst vor drei Wochen neu installierst hast, dann müsste es doch möglich sein dies zu wiederholen und wenn du dich an die Anleitung von *Christian* hältst dürfte es auch das vorerst letzte Mal sein. Neuinstallation wegen dem Wurm Agobot und seinen Backdoorfunktionen. Zitat:
Du sollst ihm die Datei imo zu Forschungszwecken schicken. |
Was der Wurm alles kann ist mir auch klar, darum möchte ich ihn ja möglichst schnell weghaben. Wenn dies wirklich nur per Neuinstallation machbar ist, so werde ich das wohl tun, habe halt gehofft das es auch ohne geht... Welche der infizierten Dateien willst du haben *Christian*???? Alle? Eine? Eine bestimmte? Bitte Beeilung sonst sind se bald gelöscht und aufheben will ich die nicht... |
Na irgendeine. Die sind ja alle mit der gleichen Malware infiziert. |
Hallo @ all, macht euch nicht mehr die Mühe zu helfen. Das Problem hat sich in Luft aufgelöst nachdem ich alles neu installiert hatte, weil gar nichts mehr ging... thanks... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:09 Uhr. |
Copyright ©2000-2025, Trojaner-Board