Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Allerlei Viren und Spyware und Gott weiß was noch (https://www.trojaner-board.de/27055-allerlei-viren-spyware-gott-weiss-noch.html)

JWCompany 21.02.2006 23:12
Allerlei Viren und Spyware und Gott weiß was noch
 
Hallo,

seit einiger Zeit meldet sich mein Telekom-F-Secure, dass ich folgende Sachen auf meinem Computer habe:

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GHIJKLMN\23018[1].0TM Infektion: Trojan-Downloader.JS.IstBar.z [bzw .j oder .z]

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OPQRSTUV\OPTN=1[2].0 Infektion: Exploit.HTML.CodeBaseExec

Und wenn ich den temporären Ordner lösche, erscheint die Meldung dennoch bald wieder. Sie kommen recht unmotiviert, ich bin zwar im Internet, aber nur auf denke ich vertrauenswürdigen Seiten. Nun ja, ich habe also Ad-Aware und Spybot heruntergeladen und durchlaufen lassen, und die haben beide ein paar andere Sachen gefunden und entfernt. Und nach dem Tip im Forum habe ich das eScan MWAV ausgeführt, und der hat eine ganze Reihe von Sachen gefunden.

Alle Scanner scheinen immer andere Sachen zu finden, und Telekoms F-Secure kann die Dateien nur umbenennen, nicht entfernen.

Kann mir iregndjemand helfen, mein System wieder sauber zu kriegen? Ich habe die HijackThis und die MWAV Logdatei angehangen. Bei MWAV habe ich nur die Einträge kopiert, bei denen der Ausdruck "No Action taken" bzw "Error" vorhanden war.

Danke für Eure Zeit und Hilfe,
Johannes.

MightyMarc 21.02.2006 23:35
Der Übersichtlichkeit wegen...

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Feb 21 10:33:09 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Tue Feb 21 10:33:09 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Tue Feb 21 10:33:10 2006 => System found infected with porndialer.win32.creazione.i Porn-Dialer ({9e98e84c-79e1-49c3-82eb-798fcd552efb})! Action taken: No Action Taken.
Tue Feb 21 10:33:16 2006 => System found infected with porndialer.win32.creazione.i Porn-Dialer (internazionale_ver4.inf)! Action taken: No Action Taken.
Tue Feb 21 10:33:16 2006 => System found infected with porndialer.win32.creazione.i Porn-Dialer (internazionale_ver4.ocx)! Action taken: No Action Taken.
Tue Feb 21 10:33:17 2006 => System found infected with roings Spyware/Adware (objsafe.tlb)! Action taken: No Action Taken.
Tue Feb 21 10:33:24 2006 => System found infected with clipgenie Spyware/Adware (channels.ini)! Action taken: No Action Taken.
Tue Feb 21 10:33:30 2006 => System found infected with downloadplus Spyware/Adware (installer.exe)! Action taken: No Action Taken.
Tue Feb 21 10:33:32 2006 => System found infected with clientman Spyware/Adware (disable.dll)! Action taken: No Action Taken.
Tue Feb 21 10:33:42 2006 => System found infected with clipgenie Spyware/Adware (channels.ini)! Action taken: No Action Taken.
Tue Feb 21 10:33:48 2006 => System found infected with downloadplus Spyware/Adware (installer.exe)! Action taken: No Action Taken.
Tue Feb 21 10:33:49 2006 => System found infected with clientman Spyware/Adware (disable.dll)! Action taken: No Action Taken.
Tue Feb 21 10:33:31 2006 => Object "gohip Spyware/Adware" found in File System! Action Taken: No Action Taken.
Tue Feb 21 10:33:48 2006 => Object "gohip Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Tue Feb 21 10:33:16 2006 => Offending file found: C:\WINNT\DOWNLO~1\internazionale_ver4.inf
Tue Feb 21 10:33:16 2006 => Offending file found: C:\WINNT\DOWNLO~1\internazionale_ver4.ocx
Tue Feb 21 10:33:17 2006 => Offending file found: C:\WINNT\system32\objsafe.tlb
Tue Feb 21 10:33:24 2006 => Offending file found: C:\Dokumente und Einstellungen\*** Wilke\Desktop\all users\anwendungsdaten\gtek\gtupdate\aupdate\channels\channels.ini
Tue Feb 21 10:33:29 2006 => Offending file found: C:\Dokumente und Einstellungen\*** Wilke\Eigene Dateien\installer.exe
Tue Feb 21 10:33:31 2006 => Offending file found: C:\Dokumente und Einstellungen\*** Wilke\Eigene Dateien\nav\external\commonfi\symshare\help\disable.dll
Tue Feb 21 10:33:42 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gtek\gtupdate\aupdate\channels\channels.ini
Tue Feb 21 10:33:48 2006 => Offending file found: C:\Dokumente und Einstellungen\*** Wilke\Eigene Dateien\installer.exe
Tue Feb 21 10:33:49 2006 => Offending file found: C:\Dokumente und Einstellungen\*** Wilke\Eigene Dateien\nav\external\commonfi\symshare\help\disable.dll
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Tue Feb 21 10:23:43 2006 => File C:\WINNT\DOWNLO~1\UERSU_~1.EXE tagged as not-a-virus:.Downloader.Win32.WinFixer.d. No Action Taken.
Tue Feb 21 12:23:48 2006 => File C:\WINNT\DOWNLO~1\UERSU_~1.EXE tagged as not-a-virus:.Downloader.Win32.WinFixer.d. No Action Taken.
Tue Feb 21 12:52:48 2006 => File C:\DOKUME~1\***~1\LOKALE~1\Temp\ICD1.tmp\UERSU_0001_N68M1402NetInstaller.exe tagged as not-a-virus:.Downloader.Win32.WinFixer.d. No Action Taken.
Tue Feb 21 15:08:49 2006 => File C:\Dokumente und Einstellungen\*** Wilke\Lokale Einstellungen\Temp\ICD1.tmp\UERSU_0001_N68M1402NetInstaller.exe tagged as not-a-virus:.Downloader.Win32.WinFixer.d. No Action Taken.~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Tue Feb 21 10:33:30 2006 => Offending Folder found: C:\Dokumente und Einstellungen\*** Wilke\Eigene Dateien\michalek&grittner\autos
Tue Feb 21 10:33:48 2006 => Offending Folder found: C:\Dokumente und Einstellungen\*** Wilke\Eigene Dateien\michalek&grittner\autos
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Logfile of HijackThis v1.99.1
Scan saved at 22:47:25, on 21.02.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\PROGRA~1\PERSON~1\backweb\2581593\Program\SERVIC~1.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\Personal Security Service\Anti-Virus\fsgk32st.exe
C:\Programme\Personal Security Service\Anti-Virus\FSGK32.EXE
C:\Programme\Personal Security Service\backweb\2581593\program\fsbwsys.exe
C:\Programme\Personal Security Service\Common\FSMA32.EXE
C:\Programme\Personal Security Service\Common\FSMB32.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Personal Security Service\Common\FCH32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Personal Security Service\Common\FAMEH32.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Personal Security Service\FWES\Program\fsdfwd.exe
C:\Programme\Personal Security Service\Anti-Virus\fssm32.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\RunDll32.exe
C:\WINNT\mk9885.exe
C:\Programme\Personal Security Service\Common\FSM32.EXE
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\Programme\Personal Security Service\FSGUI\ispnews.exe
C:\Programme\Personal Security Service\backweb\2581593\Program\fspex.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINNT\Downloaded Program Files\UERSU_0001_N68M1402NetInstaller.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\FRITZ!\FriFon32.exe
C:\Programme\Personal Security Service\Anti-Virus\fsav32.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Personal Security Service\FSGUI\fsguiexe.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\***~1\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [CHotKey] mk9885.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\Personal Security Service\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\Personal Security Service\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\Personal Security Service\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Programme\Personal Security Service\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [NI.UERSU_0001_N68M1402] "C:\WINNT\Downloaded Program Files\UERSU_0001_N68M1402NetInstaller.exe" -nag
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: FRITZ!fon.lnk = C:\Programme\FRITZ!\FriFon32.exe
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} - h**p://advnt01.com/dialer/internazionale_ver4.CAB
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - h**p://h30043.www3.hp.com/aio/en/check/qdiagh.cab?319
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB2AA70D-AB21-4381-9278-B70FDF9549E3}: NameServer = 192.168.120.252,192.168.120.253
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: T-TeleSec Personal Security Service (BackWeb Client - 2581593) - Unknown owner - C:\PROGRA~1\PERSON~1\backweb\2581593\Program\SERVIC~1.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\Personal Security Service\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\Personal Security Service\backweb\2581593\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\Personal Security Service\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Programme\Personal Security Service\Common\FSMA32.EXE
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:35 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131