|
DR/180Solutions Hallo, wie ich ihn wieder runterbekomme ist mir inzwischen klar, aber was ich fixen und löschen soll leider nicht. Logfile of HijackThis v1.99.0 Scan saved at 08:20:33, on 24.01.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: D:\WINNT\System32\smss.exe D:\WINNT\system32\winlogon.exe D:\WINNT\system32\services.exe D:\WINNT\system32\lsass.exe D:\WINNT\system32\svchost.exe D:\WINNT\system32\spoolsv.exe D:\Programme\AVPersonal\AVWUPSRV.EXE D:\WINNT\system32\drivers\CDAC11BA.EXE D:\WINNT\System32\svchost.exe D:\WINNT\system32\regsvc.exe D:\WINNT\system32\MSTask.exe D:\WINNT\system32\stisvc.exe D:\WINNT\System32\WBEM\WinMgmt.exe D:\WINNT\system32\svchost.exe D:\WINNT\Explorer.EXE D:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe D:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe D:\programme\180solutions\msbb.exe D:\Programme\AVPersonal\AVSched32.EXE D:\Programme\ICQLite\ICQLite.exe D:\WINNT\system32\rundll32.exe D:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\createcd.exe D:\WINNT\system32\internat.exe D:\Programme\EPSON\EPSON CardMonitor\EPSON CardMonitor1.2.exe D:\Programme\Davina's GGS Timer\DavinasGGSTimer.exe D:\Programme\Outlook Express\msimn.exe D:\Programme\Internet Explorer\IEXPLORE.EXE D:\WINNT\system32\wuauclt.exe D:\WINNT\system32\taskmgr.exe D:\Programme\WinRAR\WinRAR.exe D:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarExe0g.910\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_p...ount_id=133666 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - D:\Programme\NewDotNet\newdotnet6_38.dll O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - D:\WINNT\wsem218.dll (file missing) O2 - BHO: BHObj Class - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - D:\WINNT\nem216.dll (file missing) O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\Programme\ISTbar\istbar.dll (file missing) O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [windows auto update] msblast.exe O4 - HKLM\..\Run: [Ulead Memory Card Detector] D:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Paul Snerf - Phone: (250) 758-6210 (canada) - CALL FOR GAY PHONE SEX!! NO JOKE!!] PaulSnerf.exe O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [msbb] d:\programme\180solutions\msbb.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [IST Service] D:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [AVSCHED32] D:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [New.net Startup] rundll32 D:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s O4 - HKLM\..\Run: [gdat] D:\WINNT\gdat.exe O4 - HKLM\..\Run: [CreateCD] D:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\createcd.exe -r O4 - HKLM\..\RunServices: [Paul Snerf - Phone: (250) 758-6210 (canada) - CALL FOR GAY PHONE SEX!! NO JOKE!!] PaulSnerf.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Davina's GGS Timer.lnk = D:\Programme\Davina's GGS Timer\DavinasGGSTimer.exe O4 - Global Startup: EPSON CardMonitor.lnk = D:\Programme\EPSON\EPSON CardMonitor\EPSON CardMonitor1.2.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab O16 - DPF: {95BD7A59-567A-4FE1-A412-FCEC29428E42} (Toontown Installer ActiveX Control German) - http://download.german.toontown.com/...nst-german.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.download-url.de/install/StarInstall.ocx O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{783189B8-BCB3-408B-B81A-99ED13AA7F96}: NameServer = 145.253.2.81 145.253.2.174 O18 - Filter: text/html - {6CE42601-4907-4DE2-9C6C-912D4101BF99} - D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.15.dat O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - D:\WINNT\system32\drivers\CDAC11BA.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe Danke für die Hilfe.... ups, sorry falsches Forum |
@Scatha du hast eine große sammlung von malware im system, inklusive den blasterwurm, das weg zu bekommen dauert mehrere stunden. wenn du dein system neu aufsetzt, dauert es vielleicht 2 stunden und du hast ein sauberes system wenn du jedoch "reparieren" willst update als erstes dein system und IE lade danachspybot und update es. lade LSp-Fix lade dir escan download update es wie hier beschrieben wird anleitung wechsle danach in den abgesicherten modus und fixe mit HJT R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_...count_id=133666 R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - D:\Programme\NewDotNet\newdotnet6_38.dll O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - D:\WINNT\wsem218.dll (file missing) O2 - BHO: BHObj Class - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - D:\WINNT\nem216.dll (file missing) O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\Programme\ISTbar\istbar.dll (file missing) O4 - HKLM\..\Run: [windows auto update] msblast.exe O4 - HKLM\..\Run: [Paul Snerf - Phone: (250) 758-6210 (canada) - CALL FOR GAY PHONE SEX!! NO JOKE!!] PaulSnerf.exe O4 - HKLM\..\Run: [msbb] D:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [IST Service] D:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [New.net Startup] rundll32 D:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s O4 - HKLM\..\RunServices: [Paul Snerf - Phone: (250) 758-6210 (canada) - CALL FOR GAY PHONE SEX!! NO JOKE!!] PaulSnerf.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab O16 - DPF: {95BD7A59-567A-4FE1-A412-FCEC29428E42} (Toontown Installer ActiveX Control German) - http://download.german.toontown.com...inst-german.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.download-url.de/install/StarInstall.ocx O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab lösche danach manuell D:\WINNT\web\related.htm PaulSnerf.exe D:\Programme\ISTsvc\istsvc.exe D:\programme\180solutions\msbb.exe msblast.exe lösche über systemsteuerung, software, NewdotNet oder Newnet oder ähnliches. lasse danach spybot scannen, lösche was es findet. lasse danach escan scannen. neu booten, wenn die Internetverbindung nicht mehr geht, mit LSP-Fix reparieren. danach ein neues HJT logfile hier posten, und die escan ergebnisse posten Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Ich würde neu aufsetzen(format c) chaosman |
Hi scatha, neben dem Blaster-Wurm hast Du auch noch verschiedenes anderes drauf. Unter anderem New.Net. Wenn du die Einträge von New.Net fixt, kann es sein, daß Du nicht mehr ins Internet kommst. Deshalb als erstes: LSPFix runterladen, laufen lassen und alle New.Net Einträge nach rechts ziehen und auf "remove" clicken. Dann: Rechner vom Netz trennen, im abgesicherten Modus folgende Einträge mit HJT fixen (nach dem scan Häkchen bei den folgenden Punkten machen und auf "fix checked" clicken: D:\programme\180solutions\msbb.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_...count_id=133666 R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - D:\Programme\NewDotNet\newdotnet6_38.dll O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - D:\WINNT\wsem218.dll (file missing) O2 - BHO: BHObj Class - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - D:\WINNT\nem216.dll (file missing) O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\Programme\ISTbar\istbar.dll (file missing) O4 - HKLM\..\Run: [windows auto update] msblast.exe O4 - HKLM\..\Run: [Paul Snerf - Phone: (250) 758-6210 (canada) - CALL FOR GAY PHONE SEX!! NO JOKE!!] PaulSnerf.exe O4 - HKLM\..\Run: [msbb] d:\programme\180solutions\msbb.exe O4 - HKLM\..\Run: [IST Service] D:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [New.net Startup] rundll32 D:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s O4 - HKLM\..\RunServices: [Paul Snerf - Phone: (250) 758-6210 (canada) - CALL FOR GAY PHONE SEX!! NO JOKE!!] PaulSnerf.exe O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.download-url.de/install/StarInstall.ocx O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab Dann folgende Dateien manuell löschen: D:\programme\180solutions\msbb.exe D:\Programme\NewDotNet\newdotnet6_38.dll D:\WINNT\wsem218.dll D:\WINNT\nem216.dll D:\Programme\ISTbar\istbar.dll d:\programme\180solutions\msbb.exe D:\Programme\ISTsvc\istsvc.exe D:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s Dann neu booten, ans Netz gehen und neues Logfile posten. |
@ chaosman: zum Blaster Warst schneller. Wenn er vom Netz trennt und im abgesc. Modus arbeitet, sollte der Wurm (2003) schnell weg sein. Sicher ist man nie. Warst mal wieder schneller... cacatoa |
so ich hoffe ich hab alles: Logfile of HijackThis v1.99.0 Scan saved at 11:39:54, on 24.01.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: D:\WINNT\System32\smss.exe D:\WINNT\system32\winlogon.exe D:\WINNT\system32\services.exe D:\WINNT\system32\lsass.exe D:\WINNT\system32\svchost.exe D:\WINNT\system32\spoolsv.exe D:\Programme\AVPersonal\AVWUPSRV.EXE D:\WINNT\system32\drivers\CDAC11BA.EXE D:\WINNT\System32\svchost.exe D:\WINNT\system32\regsvc.exe D:\WINNT\system32\MSTask.exe D:\WINNT\system32\stisvc.exe D:\WINNT\System32\WBEM\WinMgmt.exe D:\WINNT\system32\svchost.exe D:\WINNT\Explorer.EXE D:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe D:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe D:\Programme\AVPersonal\AVSched32.EXE D:\Programme\ICQLite\ICQLite.exe D:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\createcd.exe D:\WINNT\system32\internat.exe D:\Programme\EPSON\EPSON CardMonitor\EPSON CardMonitor1.2.exe D:\Programme\Davina's GGS Timer\DavinasGGSTimer.exe D:\WINNT\system32\wuauclt.exe D:\Programme\WinRAR\WinRAR.exe D:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarExe0s.s00\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Ulead Memory Card Detector] D:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AVSCHED32] D:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [CreateCD] D:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\createcd.exe -r O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Davina's GGS Timer.lnk = D:\Programme\Davina's GGS Timer\DavinasGGSTimer.exe O4 - Global Startup: EPSON CardMonitor.lnk = D:\Programme\EPSON\EPSON CardMonitor\EPSON CardMonitor1.2.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{783189B8-BCB3-408B-B81A-99ED13AA7F96}: NameServer = 145.253.2.196 145.253.2.203 O18 - Filter: text/html - {6CE42601-4907-4DE2-9C6C-912D4101BF99} - D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.15.dat O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - D:\WINNT\system32\drivers\CDAC11BA.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe |
Removal tool downloaden: Zitat:
Zitat:
O14 - IERESET.INF: START_PAGE_URL= O18 - Filter: text/html - {6CE42601-4907-4DE2-9C6C-912D4101BF99} - D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.15.dat Zitat:
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board