|
Mein Rechner zeigt alle Anzeichen eines neuen Blasters. Das bekannte Fenster popt auf und schaltet den Rechner nach einer Minute ab. Bei mir wird as zum Problem weil ich ihn trotz Befolgung aller Hinweise von Symantec und Microsoft nicht runterkriege. Ich hab mir inzwischen AntiVirus von Norton gekauft, es scheitert am Starten. Kurz nach dem Start beendet sich das Programm selbst. Die Hilfeseite von Symantec hilt mir nur bis zu dem Punkt an dem mein Rechner den Liveupdate verweigert. Andere Suchprogramme wie Spybot oder Adware zeigen keine Viren od. Trojaner an. Auch der initiale Scan von Norton erkennt nichts. Was inzwischen auch nicht mehr funktioniert ist msconfig aufzurufen, das Fenster bleibt ca 5 sec offen, danach schaltet es sich selbst ab. daneben habe ich noch ein Icon auf meinem Desktop "domer00046". Wie das alles zusammenhaengt weiss ich nicht, ich bin in all den Dingen unbedarft und um jeden guten Rat dankbar. Wer kann helfen meine bigconfusion in no confusion umzuwandeln. |
Also: Erstmal willkommen im Forum. Spybot und Ad-aware erkennen keine bzw. nur sehr vereinzelte Trojaner. Lade dir mal bitte HijackThis und poste dein Log.: http://www.merijn.org/downloads.html Zusätzlich kannst du auch einen Online-Scan machen: http://de.trendmicro-europe.com/ente...all_launch.php |
|
Hi 2all. domer 00046 ist laut Goggle ein dialer von Globaldialer. Yaw runterladen und scannen. Grüsse aus Wien. |
danke fuer die schnellen Antworten: hier mein log: Logfile of HijackThis v1.97.7 Scan saved at 05:47:04, on 25.01.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE C:\Program Files\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe C:\Program Files\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe C:\PROGRA~1\Iomega\System32\AppServices.exe C:\WINDOWS\System32\msconfig32.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Iomega\AutoDisk\ADService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\Program Files\F-Secure Anti-Virus\backweb\4476822\Program\BackWeb-4476822.exe C:\WINDOWS\System32\khooker.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Dit.exe C:\Program Files\BroadJump\Client Foundation\CFD.exe C:\Program Files\syslaunch.exe C:\program files\support.com\bin\tgcmd.exe C:\Program Files\Real\RealPlayer\RealPlay.exe C:\Program Files\HP\HP Software Update\HPWuSchd.exe C:\Program Files\HP\hpcoretech\hpcmpmgr.exe C:\Program Files\Yahoo!\browser\ybrwicon.exe C:\Program Files\Iomega\AutoDisk\ADUserMon.exe C:\Program Files\Iomega\DriveIcons\ImgIcon.exe C:\Program Files\MSI\Live Update 3\LMonitor.exe C:\WINDOWS\DitExp.exe C:\PROGRA~1\Yahoo!\browser\ycommon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Palm\HOTSYNC.EXE C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe C:\Program Files\SBC\Connection Manager\CManager.exe C:\PROGRA~1\BROADJ~1\CORREC~1\CCD.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Axel\Local Settings\Temporary Internet Files\Content.IE5\ABMBYHUR\HijackThis[1].exe C:\Program Files\F-Secure Anti-Virus\Anti-Virus\fssm32.exe C:\Program Files\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE C:\Program Files\F-Secure Anti-Virus\Anti-Virus\fssm32.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.medion.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = , R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = , O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Common\ycomp5_1_6_0.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Common\ycomp5_1_6_0.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe O4 - HKLM\..\Run: [iehelper] C:\Program Files\syslaunch.exe O4 - HKLM\..\Run: [tgcmdprovidersbc] "c:\program files\support.com\bin\tgcmd.exe" /server /startmonitor /deaf /nosystray O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [YBrowser] C:\Program Files\Yahoo!\browser\ybrwicon.exe O4 - HKLM\..\Run: [IPInSightMonitor 01] "C:\Program Files\SBC Yahoo!\Connection Manager\IP InSight\IPMon32.exe" O4 - HKLM\..\Run: [auwaknb] rundll32 C:\WINDOWS\System32:auwaknb.dll,Init 1 O4 - HKLM\..\Run: [ADUserMon] C:\Program Files\Iomega\AutoDisk\ADUserMon.exe O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [Deskup] C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART O4 - HKLM\..\Run: [Microsoft Config Loader] msconfig32.exe O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 3.8\THGuard.exe" O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Anti-Virus\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL O4 - HKLM\..\RunServices: [Microsoft Config Loader] msconfig32.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [HistoryKill] C:\Program Files\HistoryKill\histkill.exe /startup O4 - HKCU\..\Run: [sws.exe] c:\program files\GlobalDialer\domer00046\gd-domer00046_de.exe -remove O4 - HKCU\..\Run: [YAW starten] "C:\Program Files\YAW 3.5\yawguard.exe" O4 - HKLM\..\RunOnce: [*auwaknb] rundll32 C:\WINDOWS\System32:auwaknb.dll,Init 1 O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE O4 - Startup: PowerReg SchedulerV2.exe O9 - Extra button: Yahoo! Login (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Login (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: Real.com (HKLM) O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/downlo...?1074658781421 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/sbcy/yinst.cab O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O16 - DPF: {9CF28A69-7659-4C51-BFD5-9ADE19E19EC3} (RegConfig Class) - http://download.yahoo.com/dl/install...od/yregcfg.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...704.1362962963 O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://download.yahoo.com/dl/installs/ymail/ymmapi.dll O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://download.yahoo.com/dl/installs/yab_af.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.dll O16 - DPF: {D18F962A-3722-4B59-B08D-28BB9EB2281E} (PhotosCtrl Class) - http://photos.yahoo.com/ocx/us/yexplorer1_9us.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E1DCF747-AC51-42E1-A83E-2481C380E57B}: NameServer = 63.203.35.55 206.13.28.12 |
Das ist ne Menge Holz. Eine Backdoor.Agobot-Infektion ist so gut wie "sicher". Ich poste dir gleich eine Auflistung von Dateien, die du dann an entsprechender Stelle prüfen kannst. |
ich nutze ein DSL modem. beseitigt YAW richtig oder stellt er ihn unter quarataene? |
YAW ist ein Erkennungs-/Entferungstool für Dialer, nicht jedoch für Netzwerkwürmer oder Backdoors. Näheres dazu - wie gesagt - gleich. [img]smile.gif[/img] Zum Anfang bitte diese Datei... C:\WINDOWS\System32\msconfig32.exe ...hier prüfen: http://www.kaspersky.com/de/remoteviruschk.html Das sollte den Agobot bestätigen. |
Beides. ;) |
Und bitte mach Deinem Nick-Namen nicht alle Ehre. ;) Viel hilft nicht immer viel. Also installieren nicht MEHRERE Virenscanner, dass funktioniert nämlich in den seltesten Fällen wie Du gerade feststellst. Also F-Prot ODER Symantec Antivirus und nicht beide. Allerdings spricht nichts dagegen gelegentlich einen Online-Virenscanner (*Christians* Tip) zusätzlich darüber laufen zu lassen (wenn DSL-Flat hast). ...und kaufe nie wieder einen ALDI-PC [img]graemlins/huepp.gif[/img] |
Das ist (zusätzlich zum Backdoor) einige Adware: C:\Program Files\BroadJump\Client Foundation\CFD.exe C:\Program Files\syslaunch.exe O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe O4 - HKLM\..\Run: [iehelper] C:\Program Files\syslaunch.exe Womöglich noch ein Backdoor: Afcore: O4 - HKLM\..\Run: [auwaknb] rundll32 C:\WINDOWS\System32:auwaknb.dll,Init 1 O4 - HKLM\..\RunOnce: [*auwaknb] rundll32 C:\WINDOWS\System32:auwaknb.dll,Init 1 Registry- Einträge zum Agobot: O4 - HKLM\..\Run: [Microsoft Config Loader] msconfig32.exe O4 - HKLM\..\RunServices: [Microsoft Config Loader] msconfig32.exe Ein Dialer: O4 - HKCU\..\Run: [sws.exe] c:\program files\GlobalDialer\domer00046\gd-domer00046_de.exe -remove |
msconfig32 hat keine verdaechtigen viren, ich habe auch noch msconfig32.exe.poly gefunden, sagt das was? |
</font><blockquote>Zitat:</font><hr />Original erstellt von bigconfusion: msconfig32 hat keine verdaechtigen viren</font>[/QUOTE]1.) Die benannte msconfig32.exe wäre selbst die Malware, also der Backdoor. 2.) Hast du diese Datei bei dem Kaspersky-Link geprüft? Ich kann nicht glauben, dass es nicht der Backdoor.Agobot ist. |
Ja, ja wer den Schaden hat ... was laesst sich denn noch alles aus dem log lesen, verheiratet? geschlecht, letzter eisprung? Aldi heisst in USA scheinbar Costco, bisher dacht ich immer trader joe waer der Ami Aldi Markus, was mach ich mit all den Zeile, loeschen? und dann? wird norton dann funktionieren? was Passiert mit dem blasterhaften verhalten meines rechners? |
ja ich habe sie bei kaspersky ueberprueft, hier das resultat Zu überprüfende Datei: msconfig32.exe msconfig32.exe Komprimiert: PECompact msconfig32.exe Ok Statistiken: -------------------------------------------------------------------------------- Bekannte Viren: 80657 Updated: 25.01.2004 Größe der Datei (Kb): 68 Scan-Zeit: 00:00:01 Geschwindigkeit (Kb/sek): 68 Viren-Bodies: 0 Archive: 0 Komprimiert: 1 Verzeichnisse: 0 Datei: 1 Verdächtigt: 0 Warnungen: 0 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:45 Uhr. |
Copyright ©2000-2025, Trojaner-Board