Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Schon Wieder (https://www.trojaner-board.de/26481-schon.html)

uws0500 04.02.2006 12:00
Schon Wieder
 
Hallo,

hier kommt der all zu gelibte Virusfilter(ich :headbang: ) und zwar:
Gestern bekomme ich nach einer Viren Meldung von Norton.Keine Internet Verbindung her hab mich mit einem Informatiker zusammen geschlossen per telefon.Ergebnis:Computer zu Router ergibt ein Ping.Router zu www.google.de
ergibt kein ping. Die Hijackauswertung hat ergeben das der Virus mir verhindert die Internet verbindung herzustellen dafür anderen auf meinen Computer zu gehen(soweit ich das verstanden habe).
Logfile:
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 18:43:03, on 03.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\UltraVNC\WinVNC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
D:\Eigene Dateien\Setups\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {5BCD50F8-494E-AECA-3F3F-D8D60EB4F4E9} - C:\DOKUME~1\User\ANWEND~1\SKIPSE~1\shim idol.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [jump lite blah slow] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Rdr flag jump lite\new tray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'c:\progra~1\newdot~1\newdot~1.dll' missing
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120381946953
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - h**p://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{83CB00F7-FC77-4256-B4E9-73F1705ED70E}: NameServer = 192.168.2.1
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe (file missing)
O23 - Service: MSSQLSERVER - Unknown owner - c:\Programme\Everest80\MSSQL\Binn\sqlservr.exe (file missing)
O23 - Service: MSSQLServerADHelper - Unknown owner - C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe (file missing)
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SQLSERVERAGENT - Unknown owner - c:\Programme\Everest80\MSSQL\Binn\sqlagent.EXE (file missing)
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\UltraVNC\WinVNC.exe" -service (file missing)
Außerdem kommt von Norton immer eine Meldung das die datei beschädigt ist und das sie Beendet werden muss.

Mfg
uws0500

PS::confused: Bitte helfen danke!!! Und gleich mal vorweg ich hab keine ahnung wo ich mir die einfange :crazy:

[edit]
links entfernt
GUA
[/edit]

BataAlexander 04.02.2006 12:29
Hallo,

lade Dir mal http://www.cexx.org/lspfix.zip

Gruß

Schrulli

Shadow 04.02.2006 12:30
VNC-Server fängt man sich nicht ein, den installiert man sich.
Wozu ist bei dir der VNC-Server installiert?

Warum hat dein "Informatiker" das Problem nicht gelöst?

sende
c:\DOKUME~1\User\ANWEND~1\SKIPSE~1\shim idol.exe (oder shimidol.exe)
und
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Rdr flag jump lite\new tray.exe (oder newtray.exe)

mal an Jotti (link siehe auch meine Signatur)

LSPfix oder Spybot S&D (siehe Sig) sollten dies abstellen können:
O10 - Broken Internet access because of LSP provider 'c:\progra~1\newdot~1\newdot~1.dll'

DU hattest DIR Newdot.net installiert

Klick nicht jeden Mist an und fixe jeden HJT-Punkt mit "file missing"

Schrulli war schneller, ich war ausführlicher *bg*

uws0500 04.02.2006 13:12
Dazu bräuchte ich Internet ? Ich schreibe gerade von einem anderen PC!!!
Der Virus blockiert das internet bei mir. Der VNC-server ist für den fernzugriff für meinen "Informatiker" bestimmt.Aber ohne Internet!!!!!!!!!!
Und diese LSPfix dort gibt es keinen newpot.ddl eintrag nur drei andere alle fixen?
Außerdem gibt es keinen eintrag unter HJT file missing heißt nur fix checked oder scan

Wildone 04.02.2006 13:20
Hallo,
nein auf keinen Fall die Einträge fixen, posten mal die drei Einträge.


Grüße Wildone

uws0500 04.02.2006 13:22
ich denke ich habs raus ich gebe einfach meine festplatte frei und lade sie dann übers netzwerk hoch? wird dann der andere computer verseucht??
Einträge:

mswsock.dll TCP/IP
winrnr.dll NTDS
rsvpsp.dll (Protocol handler)

Wildone 04.02.2006 13:25
Hallo,
also falls um die Überprüfung der Dateien geht, das muss nicht zwingend sein, ich weiß schon was es ist, nämlich Lop alias Swizzor.
Schau auch mal ob unter Systemsteuerung>>Software ein Eintrag von New.Net oder NewdotNet ist, wenn ja deinstallieren.

Edit
Die drei Einträge läßt du auf der linken Seite (also bei keep) hakst "I know what i am doing" an und klickst auf finish. Danach Bericht ob das Internet wieder funktioniert.

Grüße Wildone

uws0500 04.02.2006 13:33
Zitat:
Zitat von Shadow
sende
c:\DOKUME~1\User\ANWEND~1\SKIPSE~1\shim idol.exe (oder shimidol.exe)
und
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Rdr flag jump lite\new tray.exe (oder newtray.exe)
1ster Eintrag Existiert nicht weiß aber wo die Shim idol.exe liegt schicke sie jeden moment und in der zweite kann ich in dem ordner rdr flag jump lite keine nem tray.exe datei finden

Wildone 04.02.2006 13:35
Hallo,
konzentriren wir uns erst mal auf deine Winsock (new.net) Den Lop/Swizzor entfernen wir danach, ist auch nicht sonderlich kompiziert.


Grüße Wildone

uws0500 04.02.2006 13:36
Aja ich habs:
Auslastung:
0% 100%
Datei: shim_idol.exe
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
PE_PATCH.UPC

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Adware.Lop-130 gefunden
Dr.Web
Trojan.Swizzor gefunden
F-Prot Antivirus
W32/Swizzor.DE@dl gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
not-a-virus:AdWare.Win32.Lop.ag gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VBA32
Trojan-Downloader.Win32.Swizzor.bo gefunden

uws0500 04.02.2006 13:46
Ins Internet komme ich wieder (das habe ich gemerkt als ich SpyBot Updaten musste :balla: ) Aber Viren frei bin ich immer noch nicht!!!
Spy Bot findet gerade ich poste nochmal wenn es fertig ist!!!!!!
Aber eigntlich könnete ich doch den eintrag shim idol.exe einfach löschen?Nur ich bräuchte ein Programm dafür kennt jemand da eins? (clear prog hab ich schon)

Wildone 04.02.2006 14:12
Hallo,
entfernen wir ihn manuell, gehe in den abgesicherten Modus (F8 beim booten) und lösche folgende Ordner falls vorhanden:
C:\DOKUME~1\User\ANWEND~1\SKIPSE~1
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Rdr flag jump lite
dann fixt du die Einträge:

O2 - BHO: (no name) - {5BCD50F8-494E-AECA-3F3F-D8D60EB4F4E9} - C:\DOKUME~1\User\ANWEND~1\SKIPSE~1\shim idol.exe
O4 - HKLM\..\Run: [jump lite blah slow] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Rdr flag jump lite\new tray.exe

mit HijackThis, gehst wieder in den normalen Modus und postest ein neues Logfile.

Grüße Wildone

uws0500 04.02.2006 14:46
Hallo,

danke ich bin jetzt fast Viren frei.
Mein "Informatiker" schickt mir eine CD eine sogennante "ultimate boot-cd"
da der virus immer läuft sobald ich windows starte oder z.B. in den abgesicherten !!!! durch den taskmanager lässt sich der prozess nicht finden.
Wenn ihr wissen wollt wie die funktioniert oder selber eine machen wollt.
BOOT CD
Hier


mfg
alexander
Schätzle

Wildone 04.02.2006 15:04
Hallo,
kann dein Informatiker mal näher erläutern welcher Virus da noch drauf sein soll? Abgesehen davon ist eine BootCD nie verkehrt, da nicht von dem ev. infizierten System gesucht wird.


Grüße Wildone

uws0500 04.02.2006 15:33
Zitat:
Zitat von Wildone
kann dein Informatiker mal näher erläutern welcher Virus da noch drauf sein soll?
nein kann er nicht aber ich ;) SpyBot findet immer aufs neue viren und das besste einfachste billigste ist diese CD!
Alles klar?
:aplaus:
Na dann!
Frohe Weihnachten


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:38 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131