|
Mein Rechner zeigt alle Anzeichen eines neuen Blasters. Das bekannte Fenster popt auf und schaltet den Rechner nach einer Minute ab. Bei mir wird as zum Problem weil ich ihn trotz Befolgung aller Hinweise von Symantec und Microsoft nicht runterkriege. Ich hab mir inzwischen AntiVirus von Norton gekauft, es scheitert am Starten. Kurz nach dem Start beendet sich das Programm selbst. Die Hilfeseite von Symantec hilt mir nur bis zu dem Punkt an dem mein Rechner den Liveupdate verweigert. Andere Suchprogramme wie Spybot oder Adware zeigen keine Viren od. Trojaner an. Auch der initiale Scan von Norton erkennt nichts. Was inzwischen auch nicht mehr funktioniert ist msconfig aufzurufen, das Fenster bleibt ca 5 sec offen, danach schaltet es sich selbst ab. daneben habe ich noch ein Icon auf meinem Desktop "domer00046". Wie das alles zusammenhaengt weiss ich nicht, ich bin in all den Dingen unbedarft und um jeden guten Rat dankbar. Wer kann helfen meine bigconfusion in no confusion umzuwandeln. |
Also: Erstmal willkommen im Forum. Spybot und Ad-aware erkennen keine bzw. nur sehr vereinzelte Trojaner. Lade dir mal bitte HijackThis und poste dein Log.: http://www.merijn.org/downloads.html Zusätzlich kannst du auch einen Online-Scan machen: http://de.trendmicro-europe.com/ente...all_launch.php |
|
Hi 2all. domer 00046 ist laut Goggle ein dialer von Globaldialer. Yaw runterladen und scannen. Grüsse aus Wien. |
danke fuer die schnellen Antworten: hier mein log: Logfile of HijackThis v1.97.7 Scan saved at 05:47:04, on 25.01.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE C:\Program Files\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe C:\Program Files\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe C:\PROGRA~1\Iomega\System32\AppServices.exe C:\WINDOWS\System32\msconfig32.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Iomega\AutoDisk\ADService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\Program Files\F-Secure Anti-Virus\backweb\4476822\Program\BackWeb-4476822.exe C:\WINDOWS\System32\khooker.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Dit.exe C:\Program Files\BroadJump\Client Foundation\CFD.exe C:\Program Files\syslaunch.exe C:\program files\support.com\bin\tgcmd.exe C:\Program Files\Real\RealPlayer\RealPlay.exe C:\Program Files\HP\HP Software Update\HPWuSchd.exe C:\Program Files\HP\hpcoretech\hpcmpmgr.exe C:\Program Files\Yahoo!\browser\ybrwicon.exe C:\Program Files\Iomega\AutoDisk\ADUserMon.exe C:\Program Files\Iomega\DriveIcons\ImgIcon.exe C:\Program Files\MSI\Live Update 3\LMonitor.exe C:\WINDOWS\DitExp.exe C:\PROGRA~1\Yahoo!\browser\ycommon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Palm\HOTSYNC.EXE C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe C:\Program Files\SBC\Connection Manager\CManager.exe C:\PROGRA~1\BROADJ~1\CORREC~1\CCD.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Axel\Local Settings\Temporary Internet Files\Content.IE5\ABMBYHUR\HijackThis[1].exe C:\Program Files\F-Secure Anti-Virus\Anti-Virus\fssm32.exe C:\Program Files\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE C:\Program Files\F-Secure Anti-Virus\Anti-Virus\fssm32.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.medion.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = , R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = , O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Common\ycomp5_1_6_0.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Common\ycomp5_1_6_0.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe O4 - HKLM\..\Run: [iehelper] C:\Program Files\syslaunch.exe O4 - HKLM\..\Run: [tgcmdprovidersbc] "c:\program files\support.com\bin\tgcmd.exe" /server /startmonitor /deaf /nosystray O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [YBrowser] C:\Program Files\Yahoo!\browser\ybrwicon.exe O4 - HKLM\..\Run: [IPInSightMonitor 01] "C:\Program Files\SBC Yahoo!\Connection Manager\IP InSight\IPMon32.exe" O4 - HKLM\..\Run: [auwaknb] rundll32 C:\WINDOWS\System32:auwaknb.dll,Init 1 O4 - HKLM\..\Run: [ADUserMon] C:\Program Files\Iomega\AutoDisk\ADUserMon.exe O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [Deskup] C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART O4 - HKLM\..\Run: [Microsoft Config Loader] msconfig32.exe O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 3.8\THGuard.exe" O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Anti-Virus\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL O4 - HKLM\..\RunServices: [Microsoft Config Loader] msconfig32.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [HistoryKill] C:\Program Files\HistoryKill\histkill.exe /startup O4 - HKCU\..\Run: [sws.exe] c:\program files\GlobalDialer\domer00046\gd-domer00046_de.exe -remove O4 - HKCU\..\Run: [YAW starten] "C:\Program Files\YAW 3.5\yawguard.exe" O4 - HKLM\..\RunOnce: [*auwaknb] rundll32 C:\WINDOWS\System32:auwaknb.dll,Init 1 O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE O4 - Startup: PowerReg SchedulerV2.exe O9 - Extra button: Yahoo! Login (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Login (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: Real.com (HKLM) O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/downlo...?1074658781421 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/sbcy/yinst.cab O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O16 - DPF: {9CF28A69-7659-4C51-BFD5-9ADE19E19EC3} (RegConfig Class) - http://download.yahoo.com/dl/install...od/yregcfg.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...704.1362962963 O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://download.yahoo.com/dl/installs/ymail/ymmapi.dll O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://download.yahoo.com/dl/installs/yab_af.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.dll O16 - DPF: {D18F962A-3722-4B59-B08D-28BB9EB2281E} (PhotosCtrl Class) - http://photos.yahoo.com/ocx/us/yexplorer1_9us.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E1DCF747-AC51-42E1-A83E-2481C380E57B}: NameServer = 63.203.35.55 206.13.28.12 |
Das ist ne Menge Holz. Eine Backdoor.Agobot-Infektion ist so gut wie "sicher". Ich poste dir gleich eine Auflistung von Dateien, die du dann an entsprechender Stelle prüfen kannst. |
ich nutze ein DSL modem. beseitigt YAW richtig oder stellt er ihn unter quarataene? |
YAW ist ein Erkennungs-/Entferungstool für Dialer, nicht jedoch für Netzwerkwürmer oder Backdoors. Näheres dazu - wie gesagt - gleich. [img]smile.gif[/img] Zum Anfang bitte diese Datei... C:\WINDOWS\System32\msconfig32.exe ...hier prüfen: http://www.kaspersky.com/de/remoteviruschk.html Das sollte den Agobot bestätigen. |
Beides. ;) |
Und bitte mach Deinem Nick-Namen nicht alle Ehre. ;) Viel hilft nicht immer viel. Also installieren nicht MEHRERE Virenscanner, dass funktioniert nämlich in den seltesten Fällen wie Du gerade feststellst. Also F-Prot ODER Symantec Antivirus und nicht beide. Allerdings spricht nichts dagegen gelegentlich einen Online-Virenscanner (*Christians* Tip) zusätzlich darüber laufen zu lassen (wenn DSL-Flat hast). ...und kaufe nie wieder einen ALDI-PC [img]graemlins/huepp.gif[/img] |
Das ist (zusätzlich zum Backdoor) einige Adware: C:\Program Files\BroadJump\Client Foundation\CFD.exe C:\Program Files\syslaunch.exe O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe O4 - HKLM\..\Run: [iehelper] C:\Program Files\syslaunch.exe Womöglich noch ein Backdoor: Afcore: O4 - HKLM\..\Run: [auwaknb] rundll32 C:\WINDOWS\System32:auwaknb.dll,Init 1 O4 - HKLM\..\RunOnce: [*auwaknb] rundll32 C:\WINDOWS\System32:auwaknb.dll,Init 1 Registry- Einträge zum Agobot: O4 - HKLM\..\Run: [Microsoft Config Loader] msconfig32.exe O4 - HKLM\..\RunServices: [Microsoft Config Loader] msconfig32.exe Ein Dialer: O4 - HKCU\..\Run: [sws.exe] c:\program files\GlobalDialer\domer00046\gd-domer00046_de.exe -remove |
msconfig32 hat keine verdaechtigen viren, ich habe auch noch msconfig32.exe.poly gefunden, sagt das was? |
</font><blockquote>Zitat:</font><hr />Original erstellt von bigconfusion: msconfig32 hat keine verdaechtigen viren</font>[/QUOTE]1.) Die benannte msconfig32.exe wäre selbst die Malware, also der Backdoor. 2.) Hast du diese Datei bei dem Kaspersky-Link geprüft? Ich kann nicht glauben, dass es nicht der Backdoor.Agobot ist. |
Ja, ja wer den Schaden hat ... was laesst sich denn noch alles aus dem log lesen, verheiratet? geschlecht, letzter eisprung? Aldi heisst in USA scheinbar Costco, bisher dacht ich immer trader joe waer der Ami Aldi Markus, was mach ich mit all den Zeile, loeschen? und dann? wird norton dann funktionieren? was Passiert mit dem blasterhaften verhalten meines rechners? |
ja ich habe sie bei kaspersky ueberprueft, hier das resultat Zu überprüfende Datei: msconfig32.exe msconfig32.exe Komprimiert: PECompact msconfig32.exe Ok Statistiken: -------------------------------------------------------------------------------- Bekannte Viren: 80657 Updated: 25.01.2004 Größe der Datei (Kb): 68 Scan-Zeit: 00:00:01 Geschwindigkeit (Kb/sek): 68 Viren-Bodies: 0 Archive: 0 Komprimiert: 1 Verzeichnisse: 0 Datei: 1 Verdächtigt: 0 Warnungen: 0 |
</font><blockquote>Zitat:</font><hr />Original erstellt von bigconfusion: Ja, ja wer den Schaden hat ... was laesst sich denn noch alles aus dem log lesen, verheiratet? geschlecht, letzter eisprung?</font>[/QUOTE]Aber ich lese doch gar keinen Spott. [img]smile.gif[/img] Ich sehe nur Versuche, dir zu helfen. [img]smile.gif[/img] Also: Ruhe bewahren, und der Reihe nach die Tipps abarbeiten. Erstmal möchte ich die vorhandene Malware genau bestimmen. Dazu ist es auch wichtig, einzelne Dateien zu prüfen. Darum nochmals die Nachfrage zum Ergebnis des Kaspersky-Onlinechecks. War das Ergebnis negativ? |
</font><blockquote>Zitat:</font><hr />Original erstellt von bigconfusion: hier das resultat Zu überprüfende Datei: msconfig32.exe msconfig32.exe Komprimiert: PECompact msconfig32.exe Ok</font>[/QUOTE]OK, danke soweit. Dennoch ist es sehr wahrscheinlich der Agobot. Weißt du, wie du laufende Prozesse über Windows beenden kannst? Strg Alt Entf gleichzeitig drücken, den laufenden Prozess msconfig32.exe markieren und diesen Prozess beenden. Dann in das Systemverzeichnis gehen, diese Datei suchen und mir bitte zusenden. Entferne diese Datei sodann aus dem Systemverzeichnis (Rechtsklick, Ausschneiden) und in einen anderen Ordner (z.B. unter Eigene Dateien) mit Rechtsklick "Einfügen". |
Alles kein Problem. ;) Die echte Microsoft-Software "MSCONFIG" ist NICHT MSCONFIG32.exe. //mmk war einen Tick schneller// Entscheide Dich für einen Virenscanner der Dich ständig schützen soll, das (gelegentliche) Scannen(!) mit einem zweiten Programm ist kein Problem. |
Alles kein Problem... ... und war nicht böse gemeint. (Aldi) Aber genau so wie ich/wir aus Deinem LOG was rauslesen können, kann eben *jeder* leicht aus einem unsicherem System was rauslesen. |
ok die datei ist rausgenommen jetzt steht nur noch die msconfig.exe.poly drin, ich denk die soll auch raus? |
</font><blockquote>Zitat:</font><hr />Original erstellt von bigconfusion: ok die datei ist rausgenommen jetzt steht nur noch die msconfig.exe.poly drin, ich denk die soll auch raus? </font>[/QUOTE]Ja, denke auch so Weg damit. BTW eine Datei die zwei Extensions hat ist ganz allgemein ÄUSSERST suspekt (außer ich habe es selber gemacht) |
</font><blockquote>Zitat:</font><hr />Original erstellt von bigconfusion: ok die datei ist rausgenommen</font>[/QUOTE]Kannst du sie mir auch bitte zumailen? Das wäre sehr nett. Danke. Anschließend versuche, ob sich wieder ein Virenscanner starten lässt. |
@mmk: wenn er sie gelöscht hat? *staun* @littleconfusion: Aber bitte F-Prot ODER Norton Antivirus. Beide gleichzitig als Virenschutz geben sicher IMMER Probleme, möglicherweise ist das NAV-Problem auch NUR durch den F-PROT ausgelöst, kannst ja testen (nein musst nicht) //Hatte übrigens mal einen Hilferuf zu einem PC, da hatte der "Fachmann" sicherheitshalber mal alle Free-Ware und Demo-Antiviren und Firewallprogramme gleichzeitig installiert, die auf einer Heft-CD dabei waren. Waren jeweils so 3, 4 Programme und danach lief ausser hübschen BlueScreens eigentlich nichts mehr. |
</font><blockquote>Zitat:</font><hr />Original erstellt von Shadow: @mmk: wenn er sie gelöscht hat? *staun*</font>[/QUOTE]Wenn er meiner Anleitung gefolgt ist, ist die Datei nicht gelöscht, sondern befindet sich lediglich in einem anderen Ordner - sprich: in Quarantäne. |
Hi Markus, herzlichen Dank soweit, ich installiere meinen Norton gerade wieder. was mach ich mit den anderen Zeilen, wie kann ich die entfernen? Gruss Axel |
@mmk: naja ich hätte sie gelöscht aber dann (Quarantäne) ist es klar. @confusion: kommt drauf an was du alles benötigst. Brauchst Du von einem halben dutzend Programme ein automatisches Update? Benutzt Du mehrere Messenger? |
</font><blockquote>Zitat:</font><hr />Original erstellt von bigconfusion: herzlichen Dank soweit, ich installiere meinen Norton gerade wieder.</font>[/QUOTE]Achte aber auch bitte darauf, nur einen Virenscanner zur Zeit zu nutzen. Ansonsten behindern sich die Scanner gegenseitig. Ferner wirst du die vorhandene Malware kaum mit einem Virenscanner entfernen können, insbesondere den aktiven Backdoor.Afcore nicht. Ich kann daher nur noch einmal darauf hinweisen: Ruhe bewahren und nach und nach en Detail den Tipps folgen! |
</font><blockquote>Zitat:</font><hr />Original erstellt von Shadow: @mmk: naja ich hätte sie gelöscht aber dann (Quarantäne) ist es klar.</font>[/QUOTE]Die Gründe für das Nicht-Löschen sondern das stattdessen empfohlene Verschieben in Quarantäne sind die folgenden: 1.) Mit Hilfe der Datei wird eine exakte Identifizierung möglich. 2.) Sie sollte den Signaturen der AV-Programme hinzugefüht werden, damit eine Erkennung gewährleistet ist. Und in diesem Fall liegt zumindest schon einmal von KAV keine Erkennung vor. |
</font><blockquote>Zitat:</font><hr />Original erstellt von mmk: Ferner wirst du die vorhandene Malware kaum mit einem Virenscanner entfernen können, insbesondere den aktiven Backdoor.Afcore nicht. </font>[/QUOTE]Passt grad: http://www.heise.de/security/news/meldung/43964 |
Shadow, ich denk jetzt mehr an die zeilen die markus noch aufgefuehrt hat. ich hab die Zeilen verschoben, was passiert wenn ich sie mal irrtuemlich loesche? axel |
</font><blockquote>Zitat:</font><hr />Original erstellt von bigconfusion: ich hab die Zeilen verschoben, was passiert wenn ich sie mal irrtuemlich loesche?</font>[/QUOTE]Welche Zeilen? |
</font><blockquote>Zitat:</font><hr />Original erstellt von mmk: </font><blockquote>Zitat:</font><hr />Original erstellt von Shadow: @mmk: naja ich hätte sie gelöscht aber dann (Quarantäne) ist es klar.</font>[/QUOTE]Die Gründe für das Nicht-Löschen sondern das stattdessen empfohlene Verschieben in Quarantäne sind die folgenden: 1.) Mit Hilfe der Datei wird eine exakte Identifizierung möglich. 2.) Sie sollte den Signaturen der AV-Programme hinzugefüht werden, damit eine Erkennung gewährleistet ist. Und in diesem Fall liegt zumindest schon einmal von KAV keine Erkennung vor. </font>[/QUOTE]OT @ mmk: Flasch verstanden: Ich für mich auf meinem PC hätte sie OHNE Virenscanner gelöscht. Mit AV-Programm bzw. mit Erkennung durch das AV-Programm als Malware ist das was anderes. Und wenn Du dann damit noch was nützliches(!) anstellen kannst schon dreimal. |
</font><blockquote>Zitat:</font><hr />OT @ mmk: Flasch verstanden: Ich für mich auf meinem PC hätte sie OHNE Virenscanner gelöscht.</font>[/QUOTE]OK, Ack. Ich schreibe auch gerade an einer Anleitung zur Entfernung der restlichen Malware. </font><blockquote>Zitat:</font><hr />Und wenn Du dann damit noch was nützliches(!) anstellen kannst schon dreimal.</font>[/QUOTE]Jepp, so ist's gedacht. [img]smile.gif[/img] |
Befolge bitte folgende Anleitung Schritt für Schritt: 1.) Öffne erneut den Taskmanager, markiere und beende sodann die folgenden Prozesse: C:\Program Files\BroadJump\Client Foundation\CFD.exe C:\Program Files\syslaunch.exe Gehe dann in die entsprechenden Ordner und verfahre wie bereits bei der msconfig32.exe geschehen (Dateien ausschneiden und dann in einen anderen Ordner einfügen). Rufe HijackThis auf, klicke "Scan". Setze dann neben den folgenden Einträgen einen Haken: O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe O4 - HKLM\..\Run: [iehelper] C:\Program Files\syslaunch.exe O4 - HKLM\..\Run: [Microsoft Config Loader] msconfig32.exe O4 - HKLM\..\RunServices: [Microsoft Config Loader] msconfig32.exe O4 - HKCU\..\Run: [sws.exe] c:\program files\GlobalDialer\domer00046\gd-domer00046_de.exe -remove ...und wähle sodann "Fix Checked". Jetzt bleibt noch die Entfernung des Backdoor.Afcore: Mache nun Folgendes: 1.) Klicke >Start >Ausführen. 2.) Gibt dort die folgenden drei Buchstaben ein: CMD 3.) Drücke die Enter-Taste. 4.) Im nun erschienenen DOS-Fenster gib ein: rundll32 C:\WINDOWS\System32:auwaknb.dll,Uninstall 5.) Drücke erneut die Enter-Tastee. 6.) Der Trojaner sollte deinstalliert sein - entferne ggf. verbliebene Reste mit Hilfe von HijackThis bzw. poste danach ein neues LogFile! [ 25. Januar 2004, 16:40: Beitrag editiert von: mmk ] |
WICHTIG @ bigcunfusion </font><blockquote>Zitat:</font><hr />Original erstellt von mmk: Jetzt bleibt noch die Entfernung des Backdoor.Afcore: Mache nun Folgendes: 1.) Klicke >Start >Ausführen. 2.) Gibt dort die folgenden drei Buchstaben ein: CDM 3.) Drücke die Enter-Taste. </font>[/QUOTE]Muss heißen CMD Hat sich erledigt! kann leider Beitrag nicht löschen |
</font><blockquote>Zitat:</font><hr />Muss heißen CMD</font>[/QUOTE]Danke - hab zu schnell getippselt. ;) |
Ich bin soweit durch auf den dos command hab ich folgenden Fehler bekommen errror in C:\windows\system32:cuwaknb.dll missing entry uninstall |
Du hast dich vertippt: "a" statt "c" am Anfang des Daitenamens der dll: auwaknb.dll |
hab mich auch vertippt, heisst richtig errror in C:\windows\system32:auwaknb.dll missing entry uninstall |
im moment hat meine dos zeile noch folgenden vorlauf c:\ documetns and settings\Axel> ich denk das ist nicht so gedacht was soll ich tun? Axel |
Stelle sicher, dass du den Pfad zur Datei korrekt eingegeben und dich nicht vertippt hast. Führe die Prozedur ggf. im abgesicherten Modus durch! Sollte auch dies erfolglos bleiben, halte dich an diese Anleitung: http://www.trendmicro.com/vinfo/viru...=BKDR_AFCORE.D Des Weiteren: Wie sieht es inzwischen aus bei dir? Was hast du derweil durchgeführt? Welche Probleme bestehen noch, und welche nicht mehr? Nächster Schritt sollte nun sein, den aktuellen RPC-Patch für Windows zu installieren, da sich der Backdoor.Agobot (welcher als solcher leider noch nicht eindeutig indentifiziert werden konnte -> ich warte da noch immer auf die Datei von dir ;) ) ebenfalls wie der Blaster über die RPC-Sicherheitslücke verbreitet. |
Hi Markus, Shadow, Christian, mein NAV laeuft jetzt, ich hoffe es war klug die installation in der Zwischenzeit zu machen. Markus Liste ist abgearbeitet jedoch ohne den letzten Punkt. Wird NAV das erledigen? Ich hab mir hier die Nacht um die Ohren geschlagen aber ich denke es war absolut lohnenswert. Danke fuer eure Hilfe. Ich hab den beiden msconfig32 files an Markus geschickt, hoffentlich hilft es euch weiter die armen Verzweifelten wieder an das internet glauben zu lassen. Fuer mich werde ich meinen Benutzernamen in no confusion aendern. Herzlichen Dank nochmals. Wenn Ihr noch iregend welche tips fuer mich und meinen Rechner habt und obendrein noch musse (mir fehlt dass scharfe S auf der Tastatur) mir die zu schreiben waere ich euch sehr dankbar. Liebe Gruesse aus Californien Axel |
Das mit dem Aldi-PC von Shadow kannst schnell vergessen. Er ist immernoch einer der empfehlenswertesten. [img]tongue.gif[/img] Mit deinem scharfen "ß" kann ich dir leider nicht weiterhelfen. Aber ein paar Tipps zur Sicherheit deines PC findest du hier: http://www.trojaner-info.de/report_pcsicherheit.shtml Damit du solche Erlebnisse nicht so schnell wieder bekommst. ;) |
</font><blockquote>Zitat:</font><hr />Original erstellt von bigconfusion: mein NAV laeuft jetzt, ich hoffe es war klug die installation in der Zwischenzeit zu machen.</font>[/QUOTE]Dass NAV läuft, weist zumindest darauf hin, dass es gelungen ist, den (wahrscheinlichen) Backdoor.Agobot zu enfernen. </font><blockquote>Zitat:</font><hr />Markus Liste ist abgearbeitet jedoch ohne den letzten Punkt. Wird NAV das erledigen?</font>[/QUOTE]Wenn du mit dem "letzten Piunkt" den wahrscheinlichen Backdoor.Afcore meinst - nein! Hast du die Maßnahmen aus meinem letzten Posting zu diesem Thema durchgeführt? Mit welchem Erfolg? </font><blockquote>Zitat:</font><hr />Ich hab den beiden msconfig32 files an Markus geschickt, hoffentlich hilft es euch weiter die armen Verzweifelten wieder an das internet glauben zu lassen.</font>[/QUOTE]Bisher kam noch nichts an, aber danke soweit! </font><blockquote>Zitat:</font><hr />Herzlichen Dank nochmals.</font>[/QUOTE]Bitte, aber es sind noch ein paar Maßnahmen zu treffen, soweit noch nicht geschehen: 1.) Verifizierung / Entfernung des Afcore. 2.) Aufspielen des aktuellen RPC-Patches. 3.) Beenden der Systemwiederherstellung mit darauffolgendem Neustart. 4.) Ändern von Benutzernamen und Passwörtern, da dein System in erhbelicher Weise kompromittiert wurde. 5.) Willst du ganz sichergehen, solltest du das System gar komplett neu aufsetzen. </font><blockquote>Zitat:</font><hr />Wenn Ihr noch iregend welche tips fuer mich und meinen Rechner habt...</font>[/QUOTE]Siehe dazu den Link von *Christian*. |
Finally, Norton hat seinen job getan. das war das resultat> The compressed file natasha[1].exe within C:\Documents and Settings\My Documents\My Photos\Content.IE5\8HQZGT63\natasha[1].exe is a Dialer threat. The compressed file 730968718.dat.file within C:\Program Files\YAW 3.5\Quarantäne\730968718.dat.file is a Dialer threat. The compressed file gd-domer00046_de.exe within C:\gd-domer00046_de.exe is a Dialer threat. The file C:\Documents and Settings\Axel\My Documents\My Music\msconfig32.exe is infected with the W32.HLLW.Gaobot.gen virus The file C:\Documents and Settings\Axel\My Documents\My Music\msconfig32.exe.poly is infected with the W32.HLLW.Gaobot.gen virus. The file C:\WINDOWS\system32\winhlpp32.exe is infected with the W32.HLLW.Gaobot.gen virus. The file C:\WINDOWS\system32\audio.exe.tcf is infected with the Download.Trojan virus. The file C:\WINDOWS\system32\audio.exe.tcf is infected with the Download.Trojan virus. The file C:\Q121103.exe is infected with the Download.Trojan virus The file C:\WINDOWS\wininet.exe is infected with the Download.Trojan virus. The file C:\Program Files\YAW 3.5\Quarantäne\730968718.dat.file is a Dialer threat. The compressed file Ajolie[1].exe within C:\Documents and Settings\Local Settings\Temporary Internet Files\Content.IE5\6IZOSZ3U\Ajolie[1].exe is a Dialer threat. The compressed file Alavigne[1].exe within C:\RECYCLER\S-1-5-21-3592416314-684053459-2410149259-1005\Dc30\Alavigne[1].exe is a Dialer threat. The compressed file Gamer.AG-geg-10260.exe within C:\WINDOWS\Gamer.AG-geg-10260.exe is a Dialer threat. The file C:\gd-domer00046_de.exe is a Dialer threat. The file C:\gd-domer00046_de.exe is a Dialer threat. The compressed file natasha[1].exe within C:\Documents and Settings\My Documents\My Photos\Content.IE5\8HQZGT63\natasha[1].exe is a Dialer threat. Ich hoffe es hilft euch Axel |
...und dann vielleicht nochmal einen HijackThis-Log posten. Die neuen Agobots sind nach meiner Erfahrung nicht so leicht zu entfernen. Letztens reichte jedenfalls das Löschen der Datei plus der entsprechenden ".poly" nicht. War dann wieder da. Wundert mich auch sehr, daß der Kaspersky-Checker nicht zuckt. |
Vom Afcore ist nichts aufgelistet. Ich wiederhole mich: ich sehe die Probleme als noch nicht behoben an! |
Aha, "winhlpp32.exe" war die 3. Komponente des Agobot. </font><blockquote>Zitat:</font><hr /> Norton hat seinen job getan. </font>[/QUOTE]Nein, AFCORE wurde nicht erkannt. Nach der Anleitung von mmk vorgehen und dann nochmal den Log posten. |
Hi Markus, bin wieder online. mit den dosbefehlen hat nicht funktioniert. ich habe den rechner bei TD komplett gescannt. Es wurde ein Trojaner gefunden Winshow.A sonst nichts. das liefert Hijack: Logfile of HijackThis v1.97.7 Scan saved at 11:03:40, on 25.01.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\System32\khooker.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Dit.exe C:\program files\support.com\bin\tgcmd.exe C:\Program Files\Real\RealPlayer\RealPlay.exe C:\Program Files\HP\HP Software Update\HPWuSchd.exe C:\Program Files\HP\hpcoretech\hpcmpmgr.exe C:\Program Files\Yahoo!\browser\ybrwicon.exe C:\PROGRA~1\Yahoo!\browser\ycommon.exe C:\WINDOWS\DitExp.exe C:\Program Files\Iomega\AutoDisk\ADUserMon.exe C:\Program Files\Iomega\DriveIcons\ImgIcon.exe C:\Program Files\MSI\Live Update 3\LMonitor.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Palm\HOTSYNC.EXE C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe C:\Program Files\SBC\Connection Manager\CManager.exe C:\PROGRA~1\BROADJ~1\CORREC~1\CCD.exe C:\PROGRA~1\Iomega\System32\AppServices.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Program Files\Iomega\AutoDisk\ADService.exe C:\Program Files\Norton AntiVirus\SAVScan.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\explorer.exe C:\WINDOWS\regedit.exe C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Microsoft Office\Office10\WINWORD.EXE C:\WINDOWS\Temp\Temporary Directory 1 for hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.medion.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = , R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = , O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Common\ycomp5_1_6_0.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Common\ycomp5_1_6_0.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [tgcmdprovidersbc] "c:\program files\support.com\bin\tgcmd.exe" /server /startmonitor /deaf /nosystray O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [YBrowser] C:\Program Files\Yahoo!\browser\ybrwicon.exe O4 - HKLM\..\Run: [IPInSightMonitor 01] "C:\Program Files\SBC Yahoo!\Connection Manager\IP InSight\IPMon32.exe" O4 - HKLM\..\Run: [auwaknb] rundll32 C:\WINDOWS\System32:auwaknb.dll,Init 1 O4 - HKLM\..\Run: [ADUserMon] C:\Program Files\Iomega\AutoDisk\ADUserMon.exe O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [Deskup] C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [YAW starten] "C:\Program Files\YAW 3.5\yawguard.exe" O4 - HKLM\..\RunOnce: [*auwaknb] rundll32 C:\WINDOWS\System32:auwaknb.dll,Init 1 O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE O4 - Startup: PowerReg SchedulerV2.exe O9 - Extra button: Yahoo! Login (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Login (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: Real.com (HKLM) O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/downlo...?1074658781421 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/sbcy/yinst.cab O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O16 - DPF: {9CF28A69-7659-4C51-BFD5-9ADE19E19EC3} (RegConfig Class) - http://download.yahoo.com/dl/install...od/yregcfg.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...704.1362962963 O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://download.yahoo.com/dl/installs/ymail/ymmapi.dll O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://download.yahoo.com/dl/installs/yab_af.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.dll O16 - DPF: {D18F962A-3722-4B59-B08D-28BB9EB2281E} (PhotosCtrl Class) - http://photos.yahoo.com/ocx/us/yexplorer1_9us.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E1DCF747-AC51-42E1-A83E-2481C380E57B}: NameServer = 63.203.35.55 206.13.28.12 |
Da ist noch immer dieser Eintrag (alles andere scheint aber soweit OK, mit der Betonung auf "scheint"). O4 - HKLM\..\Run: [auwaknb] rundll32 C:\WINDOWS\System32:auwaknb.dll,Init 1 O4 - HKLM\..\RunOnce: [*auwaknb] rundll32 C:\WINDOWS\System32:auwaknb.dll,Init 1 Hast du diese Lösung schon versucht? http://www.trendmicro.com/vinfo/viru...=BKDR_AFCORE.D </font><blockquote>Zitat:</font><hr />Solution: Terminating the Malware Process Disabling EXPLORER.EXE terminates BKDR_AFCORE.D from memory. 1. Click Start>Run. Type COMMAND. Press Enter. A Dos Command shell shall open. 2. Open Windows Task Manager. On Windows 95, 98, or ME systems, press CTRL+ALT+DELETE. On Windows NT, 2000, XP systems, press CTRL+SHIFT+ESC, and click the Processes tab. 3. In the list of running programs, locate the process: EXPLORER.EXE 4. Select the process, then press either the End Task or the End Process button, depending on the version of Windows on your system. The Task Bar will disappear. 5. To check if the process has been terminated, close Task Manager, and then open it again. 6. Close Task Manager. 7. Open Explorer again. On the Dos command shell opened, type explorer. Press Enter. The Task Bar should reappear. 8. Close the Dos command shell by typing EXIT. Press Enter. </font>[/QUOTE]Dann müsste die Datei "greifbar" sein, sprich: du solltest sie im Systemordner finden können. Ist dem so? Falls ja, nimm sie aus dem System heraus, speichere sie in einem anderen Ordner, lösche sodann die beiden genannten Registry-Einträge mit HijackThis & Fix checked heraus, starte dein System neu und prüfe die Datei hier: http://www.kaspersky.com/de/remoteviruschk.html Sollte das Ergebnis negativ sein, sende sie mir bitte ebenfalls zu. Danke! |
Hi Markus, ich hab das file im temp ordner jeden users gefunden. der K-check war negativ. Zu überprüfende Datei: auwaknb auwaknb Ok Statistiken: -------------------------------------------------------------------------------- Bekannte Viren: 80657 Updated: 25.01.2004 Größe der Datei (Kb): 1 Scan-Zeit: 00:00:01 Geschwindigkeit (Kb/sek): 1 Viren-Bodies: 0 Archive: 0 Komprimiert: 0 Verzeichnisse: 0 Datei: 1 Verdächtigt: 0 Warnungen: 0 alle anderen checks und massnahmen hab ich inzwischen durchgefuehrt. das ist das finale hijack file. Logfile of HijackThis v1.97.7 Scan saved at 11:44:46, on 25.01.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\WINDOWS\System32\khooker.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Dit.exe C:\program files\support.com\bin\tgcmd.exe C:\Program Files\Real\RealPlayer\RealPlay.exe C:\WINDOWS\DitExp.exe C:\Program Files\HP\HP Software Update\HPWuSchd.exe C:\Program Files\HP\hpcoretech\hpcmpmgr.exe C:\Program Files\Yahoo!\browser\ybrwicon.exe C:\Program Files\Iomega\AutoDisk\ADUserMon.exe C:\Program Files\Iomega\DriveIcons\ImgIcon.exe C:\Program Files\MSI\Live Update 3\LMonitor.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Palm\HOTSYNC.EXE C:\PROGRA~1\Yahoo!\browser\ycommon.exe C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe C:\PROGRA~1\Iomega\System32\AppServices.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Program Files\Iomega\AutoDisk\ADService.exe C:\Program Files\Norton AntiVirus\SAVScan.exe C:\Program Files\SBC\Connection Manager\CManager.exe C:\PROGRA~1\BROADJ~1\CORREC~1\CCD.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE C:\Program Files\Microsoft Office\Office10\WINWORD.EXE C:\Program Files\Norton AntiVirus\OPScan.exe C:\Documents and Settings\Axel\Local Settings\Temp\Temporary Directory 3 for hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.medion.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = , R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = , O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Common\ycomp5_1_6_0.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Common\ycomp5_1_6_0.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [tgcmdprovidersbc] "c:\program files\support.com\bin\tgcmd.exe" /server /startmonitor /deaf /nosystray O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [YBrowser] C:\Program Files\Yahoo!\browser\ybrwicon.exe O4 - HKLM\..\Run: [IPInSightMonitor 01] "C:\Program Files\SBC Yahoo!\Connection Manager\IP InSight\IPMon32.exe" O4 - HKLM\..\Run: [ADUserMon] C:\Program Files\Iomega\AutoDisk\ADUserMon.exe O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [Deskup] C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [auwaknb] rundll32 C:\WINDOWS\System32:auwaknb.dll,Init 1 O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [YAW starten] "C:\Program Files\YAW 3.5\yawguard.exe" O4 - HKLM\..\RunOnce: [*auwaknb] rundll32 C:\WINDOWS\System32:auwaknb.dll,Init 1 O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE O4 - Startup: PowerReg SchedulerV2.exe O9 - Extra button: Yahoo! Login (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Login (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: Real.com (HKLM) O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/downlo...?1074658781421 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/sbcy/yinst.cab O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O16 - DPF: {9CF28A69-7659-4C51-BFD5-9ADE19E19EC3} (RegConfig Class) - http://download.yahoo.com/dl/install...od/yregcfg.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...704.1362962963 O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://download.yahoo.com/dl/installs/ymail/ymmapi.dll O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://download.yahoo.com/dl/installs/yab_af.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.dll O16 - DPF: {D18F962A-3722-4B59-B08D-28BB9EB2281E} (PhotosCtrl Class) - http://photos.yahoo.com/ocx/us/yexplorer1_9us.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E1DCF747-AC51-42E1-A83E-2481C380E57B}: NameServer = 63.203.35.55 206.13.28.12 Axel |
Nein, das war nicht die "richtige" Datei. Es geht um jene, die du im Systemordner findest, wenn du die Anleitung von Trendmicro durchgegangen bist. |
Hi Markus, insgesamt sind es sechs verschieden grosse files mit dem gleichen namen, das groesste 2 MB, K kann es nicht scannen. Ich verfahre mit den files wie vorher von dir beschrieben. Axel |
All diese Files sind jedoch nicht des Wurzels Übel. Es ist [b)nicht[/b] die verantwortliche Malware-dll dabei. Versuche die Trendmicro-Anleitung im abgesicherten Modus. Es muss eine Datei dieses Namens mit Endung .dll sichtbar werden - das ist der Verursacher. [ 25. Januar 2004, 21:20: Beitrag editiert von: mmk ] |
Hi Markus, ich kann nichts finden. Ich mach Schluss fuer heute. Axel |
|
Moin bigconfusion, eigentlich bist Du bei mmk schon in sehr guten Händen. Aber da Du offensichtlich Probleme hast, die entsprechenden 'schädlichen' Dateien angezeigt zu bekommen, möchte ich Dir auch vorschlagen, bei TrendMicro einen Onlinescan zu machen: http://housecall.trendmicro.com/ </font><blockquote>Zitat:</font><hr />Zitat aus der Beschreibung von TrendMicro: http://www.trendmicro.com/vinfo/viru...=BKDR_AFCORE.D (Ich nehme mal an, dass Du der englischen Sprache besser mächtig bist, als ich... ;) ) Identifying the Malware Program Before proceeding to remove this malware, first identify the malware program. Scan your system with Trend Micro antivirus and NOTE all files detected as BKDR_AFCORE.D. To do this, Trend Micro customers must download the latest pattern file and scan their system. Other Internet users can use HouseCall, Trend Micro's free online virus scanner.</font>[/QUOTE]Danach solltest Du so weiter machen können, wie von mmk beschrieben. tschööö, DerBilk |
Markus, Bilk, Trendmikros programm findet nichts weder im Normal gebooteten mOde noch im safe mode. Das dos Programm findet auch keine verdaechtigen Files. Axel |
OK, also möglicherweise eine bis dato unbekannte Afcore-Variante - was auch erklären könnte, dass das Deinstallieren über "rundll32....,Uninstall" nicht wie "gewohnt" machbar ist. Konkrete Nachfrage: Hast du schon versucht, gemäß der Trendmicro-Anleitung, die ich auch hier zitierte, im abgesicherten Modus (Safe Mode), den Backdoor zum Vorschein zu bringen (ich meine damit nicht die Dateien ohne Dateiendung, sondern die Datei mit Endung *.dll)? Stelle dazu auch sicher, dass zuvor unter >Systemsteuerung >Ordneroptionen die Anzeige aller Dateien, Ordner und Dateiendungen aktiviert ist. Weitere konkrete Nachfrage: ist dir die Trendmicro-Anleitung schlüssig oder hast du dazu Nachfragen? Hapert es evtl. an einem bestimmten Punkt? |
Hi Markus, ich kriege keine internet verbindung im Safemode hin ich hab im safemode nochmal das K tool laufen lassen mit keinem Erfolg kann es sein das der Troj den Internetzugriff unm;glich macht? irgendwelche ideen? Axel |
</font><blockquote>Zitat:</font><hr />Original erstellt von bigconfusion: irgendwelche ideen?</font>[/QUOTE]Du brauchst ja im Safe Mode keine Internet Verbindung. Kopiere dir diese Anleitung in eine txt-Datei, speichere die Datei ab und rufe sie im Safe Mode wieder auf. Dann kannst du ihr folgen und schauen, ob du Erfolg hast: </font><blockquote>Zitat:</font><hr /> 1. Click Start>Run. Type COMMAND. Press Enter. A Dos Command shell shall open. 2. Open Windows Task Manager. On Windows 95, 98, or ME systems, press CTRL+ALT+DELETE. On Windows NT, 2000, XP systems, press CTRL+SHIFT+ESC, and click the Processes tab. 3. In the list of running programs, locate the process: EXPLORER.EXE 4. Select the process, then press either the End Task or the End Process button, depending on the version of Windows on your system. The Task Bar will disappear. 5. To check if the process has been terminated, close Task Manager, and then open it again. 6. Close Task Manager. 7. Open Explorer again. On the Dos command shell opened, type explorer. Press Enter. The Task Bar should reappear. 8. Close the Dos command shell by typing EXIT. Press Enter.</font>[/QUOTE]Suche nun nach einer auwaknb.dll, und nimm sie, falls du sie nach den beschriebebeb Maßnahmen findest, aus dem System heraus, speichere sie in einem anderen Ordner. Öffne dann HijackThis, klicke "Scan", setze einen Haken vor diese beiden Einträge: O4 - HKLM\..\Run: [auwaknb] rundll32 C:\WINDOWS\System32:auwaknb.dll,Init 1 O4 - HKLM\..\RunOnce: [*auwaknb] rundll32 C:\WINDOWS\System32:auwaknb.dll,Init 1 ...und wähle "Fix checked". Deaktiviere die Systemwiederherstellung und starte sodann den PC neu. |
Hi Markus, der dos befehl ist case sensitve, hab ich nicht gewusst aber heute erfahren. Bei Anwendung kam ein Fenster "2633" "Removing AF". Hat somit gut geklappt denke ich. nochmal ein hijack log kannst Du das bitte nochmal anschauen? Logfile of HijackThis v1.97.7 Scan saved at 22:43:23, on 26.01.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Iomega\System32\AppServices.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Program Files\Iomega\AutoDisk\ADService.exe C:\Program Files\Norton AntiVirus\SAVScan.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\Program Files\Yahoo!\browser\ybrwicon.exe C:\program files\support.com\bin\tgcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\khooker.exe C:\Program Files\Real\RealPlayer\RealPlay.exe C:\PROGRA~1\Yahoo!\browser\ycommon.exe C:\Program Files\MSI\Live Update 3\LMonitor.exe C:\Program Files\Iomega\DriveIcons\ImgIcon.exe C:\Program Files\HP\HP Software Update\HPWuSchd.exe C:\Program Files\HP\hpcoretech\hpcmpmgr.exe C:\WINDOWS\Dit.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Iomega\AutoDisk\ADUserMon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Palm\HOTSYNC.EXE C:\WINDOWS\DitExp.exe C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe C:\Program Files\Yahoo!\browser\ybrowser.exe C:\Program Files\SBC\Connection Manager\CManager.exe C:\PROGRA~1\BROADJ~1\CORREC~1\CCD.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE C:\Program Files\Microsoft Office\Office10\WINWORD.EXE C:\Documents and Settings\Axel\Local Settings\Temp\Temporary Directory 4 for hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.medion.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = , R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = , O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Common\ycomp5_1_6_0.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Common\ycomp5_1_6_0.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [YBrowser] C:\Program Files\Yahoo!\browser\ybrwicon.exe O4 - HKLM\..\Run: [tgcmdprovidersbc] "c:\program files\support.com\bin\tgcmd.exe" /server /startmonitor /deaf /nosystray O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe O4 - HKLM\..\Run: [IPInSightMonitor 01] "C:\Program Files\SBC Yahoo!\Connection Manager\IP InSight\IPMon32.exe" O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Deskup] C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ADUserMon] C:\Program Files\Iomega\AutoDisk\ADUserMon.exe O4 - HKCU\..\Run: [YAW starten] "C:\Program Files\YAW 3.5\yawguard.exe" O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE O4 - Startup: PowerReg SchedulerV2.exe O9 - Extra button: Yahoo! Login (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Login (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/downlo...?1074658781421 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/sbcy/yinst.cab O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O16 - DPF: {9CF28A69-7659-4C51-BFD5-9ADE19E19EC3} (RegConfig Class) - http://download.yahoo.com/dl/install...od/yregcfg.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...704.1362962963 O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://download.yahoo.com/dl/installs/ymail/ymmapi.dll O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://download.yahoo.com/dl/installs/yab_af.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.dll O16 - DPF: {D18F962A-3722-4B59-B08D-28BB9EB2281E} (PhotosCtrl Class) - http://photos.yahoo.com/ocx/us/yexplorer1_9us.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E1DCF747-AC51-42E1-A83E-2481C380E57B}: NameServer = 63.203.35.55 206.13.28.12 Danke Axel |
Erst einmal danke für deine hilfe Markus! Hier mein neues LogFile: Logfile of HijackThis v1.97.7 Scan saved at 21:58:03, on 30.01.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\cisvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Common files\updmgr\updmgr.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\Programme\Panicware\Pop-Up Stopper Free Edition\PSFree.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Programme\Opera7\opera.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\SinanH\Eigene Dateien\Eigene Software\Schutz\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: PerfectNavBHO Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe O2 - BHO: (no name) - {029CA12C-89C1-46a7-A3C7-82F2F98635CB} - (no file) O2 - BHO: (no name) - {04079851-5845-4dea-848C-3ECD647AA554} - (no file) O2 - BHO: NavErrRedir Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7193a5c5-892a-4e30-a674-60ff61f69263} - (no file) O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: (no name) - {CB8DE326-EA4C-4A15-9F55-2B035299F7D2} - (no file) O3 - Toolbar: (no name) - {2CF0B992-5EEB-4143-99C2-5297EF71F44B} - (no file) O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: (no name) - {800e3984-5850-43f3-a718-82d4eda18ef7} - (no file) O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\Programme\Panicware\Pop-Up Stopper Free Edition\PSFree.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Translate (HKLM) O9 - Extra 'Tools' menuitem: LingoWare Translator... (HKLM) O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O9 - Extra button: MedionShop (HKCU) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {36C66BBD-E667-4DAD-9682-58050E7C9FDC} (CDKey Class) - http://www.cdkeybonus.com/cdkey/ITCDKey.cab O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productu...ntent/opuc.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) - O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...657.0299189815 O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.5.115.205 194.25.2.129 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:03 Uhr. |
Copyright ©2000-2025, Trojaner-Board