Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Msn wurm,unwillkommene Popup´s, pc versucht sich immer abzuschalten, HijackLogfile DA (https://www.trojaner-board.de/30048-msn-wurm-unwillkommene-popup-s-pc-versucht-immer-abzuschalten-hijacklogfile.html)

AndÖ.ö 18.06.2006 21:43
Msn wurm,unwillkommene Popup´s, pc versucht sich immer abzuschalten, HijackLogfile DA
 
hey Leute , gestern kam per msn von einer bekannten der Msn wurm zu mir , hatte hier schon mal drine gsucht aber nur unzureichende antworten bekommen

hab folgendes problem auf meinem PC



-dauernde popUp´s
- pc versucht sich abzuschalten
-meine maus führt ein eigenleben
-msn öffnet willkürlich irgendwelche fenster und schreibt was (meist kauderwelsch)
- schreibe ich in word ein dokument , komm ich nicht zum drucken da er sagt mein pc wäre dazu nicht in der lage und dateien fehlen

-mein virenscanner geht alle 3 sekunden auf und meldet 5 funde

also ein normales arbeiten ist sehr schwer möglich

Ad-Aware bringt nur einen kleinen erfolg für ne geraume zeit , nach ca 5 minuten geht das Spektakel mit den popups wieder los

ich hoffe ihr könnt mir helfen

hier der log file

Logfile of HijackThis v1.99.1
Scan saved at 22:34:12, on 18.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\lvhidsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\TVR\RecSche.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\DOKUME~1\Andy\EIGENE~1\STEM~1\wowexec.exe
C:\Programme\Common Files\svchostsys\svchostsys.exe
C:\Programme\T?sks\m?hta.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\BearShare\BearShare.exe
C:\Programme\TVR\TVR.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Andy\LOKALE~1\Temp\Rar$EX00.015\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = eumex.ip;<local>
R3 - URLSearchHook: (no name) - {04A80655-93B0-9349-9DEE-90FC2CFFB6C0} - C:\WINDOWS\system32\wanae.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: 127.0.0.4 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.4 x.full-tgp.net
O1 - Hosts: 127.0.0.4 counter.sexmaniack.com
O1 - Hosts: 127.0.0.4 autoescrowpay.com
O1 - Hosts: 127.0.0.4 www.autoescrowpay.com
O1 - Hosts: 127.0.0.4 www.awmdabest.com
O1 - Hosts: 127.0.0.4 www.sexfiles.nu
O1 - Hosts: 127.0.0.4 awmdabest.com
O1 - Hosts: 127.0.0.4 sexfiles.nu
O1 - Hosts: 127.0.0.4 allforadult.com
O1 - Hosts: 127.0.0.4 www.allforadult.com
O1 - Hosts: 127.0.0.4 www.iframe.biz
O1 - Hosts: 127.0.0.4 iframe.biz
O1 - Hosts: 127.0.0.4 www.newiframe.biz
O1 - Hosts: 127.0.0.4 newiframe.biz
O1 - Hosts: 127.0.0.4 www.vesbiz.biz
O1 - Hosts: 127.0.0.4 vesbiz.biz
O1 - Hosts: 127.0.0.4 www.pizdato.biz
O1 - Hosts: 127.0.0.4 pizdato.biz
O1 - Hosts: 127.0.0.4 www.aaasexypics.com
O1 - Hosts: 127.0.0.4 aaasexypics.com
O1 - Hosts: 127.0.0.4 www.virgin-tgp.net
O1 - Hosts: 127.0.0.4 virgin-tgp.net
O1 - Hosts: 127.0.0.4 www.awmcash.biz
O1 - Hosts: 127.0.0.4 awmcash.biz
O1 - Hosts: 127.0.0.4 buldog-stats.com
O1 - Hosts: 127.0.0.4 www.buldog-stats.com
O1 - Hosts: 127.0.0.4 fregat.drocherway.com
O1 - Hosts: 127.0.0.4 slutmania.biz
O1 - Hosts: 127.0.0.4 www.slutmania.biz
O1 - Hosts: 127.0.0.4 toolbarpartner.com
O1 - Hosts: 127.0.0.4 www.toolbarpartner.com
O1 - Hosts: 127.0.0.4 www.megapornix.com
O1 - Hosts: 127.0.0.4 megapornix.com
O1 - Hosts: 127.0.0.4 www.sp2fucked.biz
O1 - Hosts: 127.0.0.4 sp2fucked.biz
O1 - Hosts: 127.0.0.4 greg-tut.com
O1 - Hosts: 127.0.0.4 www.greg-tut.com
O1 - Hosts: 127.0.0.4 nylonsexy.com
O1 - Hosts: 127.0.0.4 www.nylonsexy.com
O1 - Hosts: 127.0.0.4 vparivalka.com
O1 - Hosts: 127.0.0.4 www.vparivalka.com
O1 - Hosts: 127.0.0.4 iframeprofit.com
O1 - Hosts: 127.0.0.4 www.iframeprofit.com
O1 - Hosts: 127.0.0.4 topsearch10.com
O1 - Hosts: 127.0.0.4 www.topsearch10.com
O1 - Hosts: 127.0.0.4 statscash.biz
O1 - Hosts: 127.0.0.4 www.statscash.biz
O1 - Hosts: 127.0.0.4 vxiframe.biz
O1 - Hosts: 127.0.0.4 www.vxiframe.biz
O1 - Hosts: 127.0.0.4 crazy-toolbar.com
O1 - Hosts: 127.0.0.4 www.crazy-toolbar.com
O1 - Hosts: 127.0.0.4 topcash.biz
O1 - Hosts: 127.0.0.4 www.topcash.biz
O1 - Hosts: 127.0.0.4 loadcash.biz
O1 - Hosts: 127.0.0.4 www.loadcash.biz
O1 - Hosts: 127.0.0.4 txiframe.biz
O1 - Hosts: 127.0.0.4 www.txiframe.biz
O1 - Hosts: 127.0.0.4 procounter.biz
O1 - Hosts: 127.0.0.4 www.procounter.biz
O1 - Hosts: 127.0.0.4 advadmin.biz
O1 - Hosts: 127.0.0.4 www.advadmin.biz
O1 - Hosts: 127.0.0.4 trafficbest.net
O1 - Hosts: 127.0.0.4 www.trafficbest.net
O1 - Hosts: 127.0.0.4 besthvac.com
O1 - Hosts: 127.0.0.4 www.besthvac.com
O1 - Hosts: 127.0.0.4 traff4.com
O1 - Hosts: 127.0.0.4 www.traff4.com
O1 - Hosts: 127.0.0.4 ambush-script.com
O1 - Hosts: 127.0.0.4 www.ambush-script.com
O1 - Hosts: 127.0.0.4 beehappyy.biz
O1 - Hosts: 127.0.0.4 www.beehappyy.biz
O1 - Hosts: 127.0.0.4 tracktraff.cc
O1 - Hosts: 127.0.0.4 www.tracktraff.cc
O1 - Hosts: 127.0.0.4 allcount.net
O1 - Hosts: 127.0.0.4 www.allcount.net
O1 - Hosts: 127.0.0.4 onedayoffer.biz
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RecSche] "C:\Programme\TVR\RecSche.exe"
O4 - HKLM\..\Run: [WinDVRCtrl] C:\WINDOWS\WDVRCtrl.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows Recylinder Check] dfqebhpcfl.exe
O4 - HKLM\..\RunServices: [Windows Recylinder Check] dfqebhpcfl.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Lnbu] "C:\DOKUME~1\Andy\EIGENE~1\STEM~1\wowexec.exe" -vt yazr
O4 - HKCU\..\Run: [sys_up1] C:\Programme\Common Files\svchostsys\svchostsys.exe
O4 - HKCU\..\Run: [Njmk] C:\Programme\T?sks\m?hta.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Reset.lnk = C:\WINDOWS\repair\reset.bat
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://andy881.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20274da6219574c8ef15/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124641067609
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\system32\svchost.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Remote HID Service (LvHidSvc) - Philips - C:\WINDOWS\System32\lvhidsvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing)

cosinus 18.06.2006 23:16
Abgesehen von deiner verrammelten Hosts-Datei, hast Du wohl noch andere fiese oder zumindest verdächtige Einträge bzw. Dateien drin:
Zitat:
C:\Programme\Common Files\svchostsys\svchostsys.exe
C:\WINDOWS\system32\wanae.dll
dfqebhpcfl.exe
C:\WINDOWS\system32\svchost.dll
Versuch mal diese Dateien online bei Virustotal auszuwerten.
Und dieser hier
Zitat:
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
Ist dafür bekannt, Spy-/Adware nachzuladen, den hast Du Dir aber bewusst installiert. Mach auch mal einen Check mit eScan und poste die Ergebnisse.

BataAlexander 18.06.2006 23:17
Hallo,

Dein Rechner ist zeimlich versuecht eine Bereinigung macht meiner Meinung nach keinen Sinn.

Eine Anleitung zum Neuaufsetzen findest Du in meiner Signatur verlinkt. Die Infektionen hab ich mal zusammengestrichen, nur zur Info.

Gruß

Schrulli

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:
R3 - URLSearchHook: (no name) - {04A80655-93B0-9349-9DEE-90FC2CFFB6C0} - C:\WINDOWS\system32\wanae.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: 127.0.0.4 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.4 x.full-tgp.net
O1 - Hosts: 127.0.0.4 counter.sexmaniack.com
O1 - Hosts: 127.0.0.4 autoescrowpay.com
O1 - Hosts: 127.0.0.4 w*w.autoescrowpay.com
O1 - Hosts: 127.0.0.4 w*w.awmdabest.com
O1 - Hosts: 127.0.0.4 w*w.sexfiles.nu
O1 - Hosts: 127.0.0.4 awmdabest.com
O1 - Hosts: 127.0.0.4 sexfiles.nu
O1 - Hosts: 127.0.0.4 allforadult.com
O1 - Hosts: 127.0.0.4 w*w.allforadult.com
O1 - Hosts: 127.0.0.4 w*w.iframe.biz
O1 - Hosts: 127.0.0.4 iframe.biz
O1 - Hosts: 127.0.0.4 w*w.newiframe.biz
O1 - Hosts: 127.0.0.4 newiframe.biz
O1 - Hosts: 127.0.0.4 w*w.vesbiz.biz
O1 - Hosts: 127.0.0.4 vesbiz.biz
O1 - Hosts: 127.0.0.4 w*w.pizdato.biz
O1 - Hosts: 127.0.0.4 pizdato.biz
O1 - Hosts: 127.0.0.4 w*w.aaasexypics.com
O1 - Hosts: 127.0.0.4 aaasexypics.com
O1 - Hosts: 127.0.0.4 w*w.virgin-tgp.net
O1 - Hosts: 127.0.0.4 virgin-tgp.net
O1 - Hosts: 127.0.0.4 w*w.awmcash.biz
O1 - Hosts: 127.0.0.4 awmcash.biz
O1 - Hosts: 127.0.0.4 buldog-stats.com
O1 - Hosts: 127.0.0.4 w*w.buldog-stats.com
O1 - Hosts: 127.0.0.4 fregat.drocherway.com
O1 - Hosts: 127.0.0.4 slutmania.biz
O1 - Hosts: 127.0.0.4 w*w.slutmania.biz
O1 - Hosts: 127.0.0.4 toolbarpartner.com
O1 - Hosts: 127.0.0.4 w*w.toolbarpartner.com
O1 - Hosts: 127.0.0.4 w*w.megapornix.com
O1 - Hosts: 127.0.0.4 megapornix.com
O1 - Hosts: 127.0.0.4 w*w.sp2fucked.biz
O1 - Hosts: 127.0.0.4 sp2fucked.biz
O1 - Hosts: 127.0.0.4 greg-tut.com
O1 - Hosts: 127.0.0.4 w*w.greg-tut.com
O1 - Hosts: 127.0.0.4 nylonsexy.com
O1 - Hosts: 127.0.0.4 w*w.nylonsexy.com
O1 - Hosts: 127.0.0.4 vparivalka.com
O1 - Hosts: 127.0.0.4 w*w.vparivalka.com
O1 - Hosts: 127.0.0.4 iframeprofit.com
O1 - Hosts: 127.0.0.4 w*w.iframeprofit.com
O1 - Hosts: 127.0.0.4 topsearch10.com
O1 - Hosts: 127.0.0.4 w*w.topsearch10.com
O1 - Hosts: 127.0.0.4 statscash.biz
O1 - Hosts: 127.0.0.4 w*w.statscash.biz
O1 - Hosts: 127.0.0.4 vxiframe.biz
O1 - Hosts: 127.0.0.4 w*w.vxiframe.biz
O1 - Hosts: 127.0.0.4 crazy-toolbar.com
O1 - Hosts: 127.0.0.4 w*w.crazy-toolbar.com
O1 - Hosts: 127.0.0.4 topcash.biz
O1 - Hosts: 127.0.0.4 w*w.topcash.biz
O1 - Hosts: 127.0.0.4 loadcash.biz
O1 - Hosts: 127.0.0.4 w*w.loadcash.biz
O1 - Hosts: 127.0.0.4 txiframe.biz
O1 - Hosts: 127.0.0.4 w*w.txiframe.biz
O1 - Hosts: 127.0.0.4 procounter.biz
O1 - Hosts: 127.0.0.4 w*w.procounter.biz
O1 - Hosts: 127.0.0.4 advadmin.biz
O1 - Hosts: 127.0.0.4 w*w.advadmin.biz
O1 - Hosts: 127.0.0.4 trafficbest.net
O1 - Hosts: 127.0.0.4 w*w.trafficbest.net
O1 - Hosts: 127.0.0.4 besthvac.com
O1 - Hosts: 127.0.0.4 w*w.besthvac.com
O1 - Hosts: 127.0.0.4 traff4.com
O1 - Hosts: 127.0.0.4 w*w.traff4.com
O1 - Hosts: 127.0.0.4 ambush-script.com
O1 - Hosts: 127.0.0.4 w*w.ambush-script.com
O1 - Hosts: 127.0.0.4 beehappyy.biz
O1 - Hosts: 127.0.0.4 w*w.beehappyy.biz
O1 - Hosts: 127.0.0.4 tracktraff.cc
O1 - Hosts: 127.0.0.4 w*w.tracktraff.cc
O1 - Hosts: 127.0.0.4 allcount.net
O1 - Hosts: 127.0.0.4 w*w.allcount.net
O1 - Hosts: 127.0.0.4 onedayoffer.biz
O4 - HKLM\..\Run: [WinDVRCtrl] C:\WINDOWS\WDVRCtrl.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [Windows Recylinder Check] dfqebhpcfl.exe
O4 - HKLM\..\RunServices: [Windows Recylinder Check] dfqebhpcfl.exe
O4 - HKCU\..\Run: [Lnbu] "C:\DOKUME~1\Andy\EIGENE~1\STEM~1\wowexec.exe" -vt yazr
O4 - HKCU\..\Run: [sys_up1] C:\Programme\Common Files\svchostsys\svchostsys.exe
O4 - HKCU\..\Run: [Njmk] C:\Programme\T?sks\m?hta.exe
O4 - Global Startup: Reset.lnk = C:\WINDOWS\repair\reset.bat
O20 - AppInit_DLLs: C:\WINDOWS\system32\svchost.dll
O23 - Service: Remote HID Service (LvHidSvc) - Philips - C:\WINDOWS\System32\lvhidsvc.exe

edit: Moin cosinus, hi hi, hab´ts mich erwischt :party: /edit

cosinus 18.06.2006 23:23
Moin Schrulli! :party:
Zitat:
O23 - Service: Remote HID Service (LvHidSvc) - Philips - C:\WINDOWS\System32\lvhidsvc.exe
Scheint nicht wirklich ein Schädling zu sein. Aber selbst wenn, würde das den Braten auch nicht mehr fett machen :blabla:
Da "rennt" schon einiges anderes....:rolleyes:

AndÖ.ö 19.06.2006 14:04
hey , schon mal Vielen dank für die antworten und tips , hier die dateien die ich mal durchleuchten sollte

Complete scanning result of "svchostsys.exe", received in VirusTotal at 06.19.2006, 14:19:03 (CET).

Antivirus Version Update Result
AntiVir 6.35.0.13 06.19.2006 TR/Dldr.CoreExe.B
Authentium 4.93.8 06.16.2006 no virus found
Avast 4.7.844.0 06.19.2006 no virus found
AVG 386 06.16.2006 no virus found
BitDefender 7.2 06.19.2006 Trojan.Downloader.MSIL.A
CAT-QuickHeal 8.00 06.17.2006 TrojanDownloader.MSIL.Agent.a
ClamAV devel-20060426 06.18.2006 no virus found
DrWeb 4.33 06.19.2006 Trojan.DownLoader.10155
eTrust-InoculateIT 23.72.42 06.18.2006 Win32/Tentod!Trojan
eTrust-Vet 12.6.2263 06.19.2006 no virus found
Ewido 3.5 06.19.2006 Downloader.Small
Fortinet 2.77.0.0 06.18.2006 W32/Agent.A!tr.dldr
F-Prot 3.16f 06.17.2006 no virus found
Ikarus 0.2.65.0 06.19.2006 no virus found
Kaspersky 4.0.2.24 06.19.2006 Trojan-Downloader.MSIL.Agent.a
McAfee 4786 06.16.2006 no virus found
Microsoft 1.1441 06.19.2006 no virus found
NOD32v2 1.1607 06.19.2006 no virus found
Norman 5.90.21 06.19.2006 W32/DLoader.ZXY
Panda 9.0.0.4 06.18.2006 Trj/Clicker.QE
Sophos 4.06.0 06.19.2006 no virus found
Symantec 8.0 06.19.2006 Downloader.Trojan
TheHacker 5.9.8.162 06.19.2006 no virus found
UNA 1.83 06.19.2006 TrojanDownloader.MSIL.Agent
VBA32 3.11.0 06.18.2006 Trojan.DownLoader.10155
VirusBuster 4.3.7:9 06.18.2006 no virus found

Aditional Information
File size: 20480 bytes
MD5: 9a3cc553fcbf76e9bacecd844baed017
SHA1: b9303479bcda6e5565dca3710d3b69146399dd68



omplete scanning result of "wanae.dll", received in VirusTotal at 06.19.2006, 14:25:37 (CET).

Antivirus Version Update Result
AntiVir 6.35.0.13 06.19.2006 ADSPY/PurityScan.AK.94
Authentium 4.93.8 06.16.2006 no virus found
Avast 4.7.844.0 06.19.2006 Win32:Agent-RY
AVG 386 06.16.2006 Adware Generic.ORJ
BitDefender 7.2 06.19.2006 no virus found
CAT-QuickHeal 8.00 06.17.2006 no virus found
ClamAV devel-20060426 06.18.2006 Trojan.PurityScan.AK
DrWeb 4.33 06.19.2006 Adware.ClickSpring
eTrust-InoculateIT 23.72.42 06.18.2006 no virus found
eTrust-Vet 12.6.2263 06.19.2006 Win32/Clspring!generic
Ewido 3.5 06.19.2006 Adware.PurityScan
Fortinet 2.77.0.0 06.18.2006 Adware/Purityscan.AK
F-Prot 3.16f 06.17.2006 no virus found
Ikarus 0.2.65.0 06.19.2006 AdWare.PurityScan.AK
Kaspersky 4.0.2.24 06.19.2006 not-a-virus:AdWare.Win32.PurityScan.ak
McAfee 4786 06.16.2006 potentially unwanted program Adware-ClickSpring
Microsoft 1.1441 06.19.2006 no virus found
NOD32v2 1.1607 06.19.2006 no virus found
Norman 5.90.21 06.19.2006 W32/PurityScan.YQ
Panda 9.0.0.4 06.18.2006 Adware/PurityScan
Sophos 4.06.0 06.19.2006 no virus found
Symantec 8.0 06.19.2006 no virus found
TheHacker 5.9.8.162 06.19.2006 Adware/PurityScan.ak
UNA 1.83 06.19.2006 Adware.PurityScan
VBA32 3.11.0 06.18.2006 AdWare.Win32.PurityScan.ak
VirusBuster 4.3.7:9 06.18.2006 Adware.ClickSpring.Gen

Aditional Information
File size: 139264 bytes
MD5: 5b87e77a0b4b09883e3e7723f215a175
SHA1: 82e119032c385495d271422847e0a466605031e5


Complete scanning result of "svchost.dll", received in VirusTotal at 06.19.2006, 14:28:10 (CET).

Antivirus Version Update Result
AntiVir 6.35.0.13 06.19.2006 ADSPY/PurityScan.EN.1
Authentium 4.93.8 06.16.2006 no virus found
Avast 4.7.844.0 06.19.2006 Win32:Ndrv
AVG 386 06.16.2006 Adware Generic.OFX
BitDefender 7.2 06.19.2006 no virus found
CAT-QuickHeal 8.00 06.17.2006 no virus found
ClamAV devel-20060426 06.18.2006 Trojan.PurityScan.EN
DrWeb 4.33 06.19.2006 Adware.ClickSpring
eTrust-InoculateIT 23.72.42 06.18.2006 no virus found
eTrust-Vet 12.6.2263 06.19.2006 no virus found
Ewido 3.5 06.19.2006 Adware.PurityScan
Fortinet 2.77.0.0 06.18.2006 Adware/PurityScan
F-Prot 3.16f 06.17.2006 no virus found
Ikarus 0.2.65.0 06.19.2006 no virus found
Kaspersky 4.0.2.24 06.19.2006 not-a-virus:AdWare.Win32.PurityScan.en
McAfee 4786 06.16.2006 no virus found
Microsoft 1.1441 06.19.2006 no virus found
NOD32v2 1.1607 06.19.2006 no virus found
Norman 5.90.21 06.19.2006 W32/PurityScan.YM
Panda 9.0.0.4 06.18.2006 Adware/PurityScan
Sophos 4.06.0 06.19.2006 no virus found
Symantec 8.0 06.19.2006 no virus found
TheHacker 5.9.8.162 06.19.2006 Adware/PurityScan.en
UNA 1.83 06.19.2006 Adware.PurityScan
VBA32 3.11.0 06.18.2006 AdWare.Win32.PurityScan.en
VirusBuster 4.3.7:9 06.18.2006 no virus found

Aditional Information
File size: 81920 bytes
MD5: 61865e40552bcfe0e0410e4049627b9c
SHA1: f91c7e49922f8b691e43edf3b1cf10535324c007


der e-scan folgt der brauch noch ne weile

BataAlexander 19.06.2006 18:59
Hallo,

Zitat:
der e-scan folgt der brauch noch ne weile
bitte spar Dir und uns dieses Log, Der Rechner ist wirklich reif für eine Neuinstallation, wie ich schon sagte, es sind einfach zu viele Infektionen.

Gruß

Schrulli

AndÖ.ö 19.06.2006 21:29
hab ein paar neuigkeiten

pc läuft soweit wieder astrein , nen kollege hat mir irgendwas (stinger) drübgerzogen , seit dem wie gewohnt der hatte ca 31 sachen gefunden und gelöscht , sollte ich trotzdem neu aufsetzen ?

BataAlexander 19.06.2006 21:44
Hallo,

stinger ist ein Removal Tool, auch für Backdoors, die hier i.d.R. nicht mehr bereinigt werden.
Du weißt nichtmal, was genau in Deinem Rechner war/ist.
Info zu Stinger hier.
Ich würde dem Braten nicht trauen. :confused:

Gruß

Schrulli

error84 19.06.2006 22:38
Also, ich bezweifel auch das dein System wieder komplett sauber ist... Es wird bei einigen Viren u. Trojaner Scannern zwar angezeigt, das diese beseitigt worden sind, aber die heutige Malware ist ja nicht blöd :rolleyes:

Löscht du die "Hauptdatei" des Trojaners, ist er noch keinesfalls von deinem System entfernt. Der Trojaner verteilt auf deinem ganzen System, in den unterschiedlichsten Ordnern, einfach ein paar kleine Unterdateien die dafür sorgen das er sich wieder zusammen setzen kann. Das kann direkt nach einem Neustart passieren, aber auch erst nach Stunden oder Tagen, jenachdem...

Ich könnte dir jetzt noch ein paar Sicherheitstools ans herz legen, aber sowas bringt nur VOR der Infektion wirklich etwas, da Viren und Trojaner in der Lage sind die Scanner zu manipulieren. Ein gutes Beispiel ist da AntiVir.

Wenn du dein System wirklich bereinigt haben willst, setzt du neu auf

Zudem würden mir diese ganzen "host-seiten" zu denken geben, da dort wirklich nicht die seriösesten Pages angegeben sind...

AndÖ.ö 19.06.2006 22:40
danke für die hilfe , werde so richtung wochenende mal alles neu aufspielen .. :eek: :eek: :eek: so verdammt viel zeuchs auf der platte drauf :schmoll:

AndÖ.ö 19.06.2006 22:42
Zitat:
Zitat von AndÖ.ö
danke für die hilfe , werde so richtung wochenende mal alles neu aufspielen .. :eek: :eek: :eek: so verdammt viel zeuchs auf der platte drauf :schmoll:

wie krieg ich mein pc sicher ? ausser jetzt mit sp 2 , Av , usw..

BataAlexander 19.06.2006 22:45
Hallo,

in meiner Signatur findest Du einen Link zum Neuaufsetzen des Systems.

Gruß

Schrulli

error84 19.06.2006 23:05
Einen Computer wirklich "sicher" in der heutigen Zeit zu bekommen, schafft glaube ich keiner. Es gibt höchstens ein paar Tools, welche die Risiken einer Infektion ein wenig senken können.


- - - AntiVir - - -
Für einen kostenlosen Virenscanner ist er okay. Jedoch sollte er ständig geupdatet sein.

- - - Ad-Aware - - -
Findet Trojaner und sonstiges Zeugs, ständig updaten

- - - Reg Cleaner - - -
Beseitigt z.b. unerwünschte Einträge im Taskmanager und in der Registry

- - - Zonealarm - - -
Schützt dich ein wenig beim Surfen im Internet. Programme müssen um "Erlaubniss fragen", bevor sie mit dem Internet kommunizieren

- - - JAP - - -
Weder der angesurfte Server, noch der Provider kann zurück verfolgen, welche Webseiten du besuchst.

In Bezug auf die Virenscanner solltest du dich definitiv für NUR EINEN entscheiden. Hast du mehrere bei dir installiert, kann es zu schweren Ausnahmefehlern deines Windows Systems kommen, selbst wenn du diese nicht alle gleichzeitig laufen hast.

zudem:

ALLE Windows Updates installieren
Automatisches Downloaden von Updates aktivieren

NEUESTE Version von IE besitzen, aber z.b. FireFox nutzen
(IE hat zu viele Lücken, durch die man schlüpfen kann, aber auf keinen Fall deinstallieren, kann sonst zur Instabilität deines Windows führen!!!)

BataAlexander 19.06.2006 23:26
Hallo,

sorry error84, aber Du solltest mehr in diesem Forum lesen, bevor Du postest. ;)
Zitat:
- - - Zonealarm - - -
Schützt dich ein wenig beim Surfen im Internet. Programme müssen um "Erlaubniss fragen", bevor sie mit dem Internet kommunizieren
Die Programme, die wir hier meinen machen genau das nicht, geneigte Leser mögen sich hier weiter infomieren.
Zitat:
- - - JAP - - -
Weder der angesurfte Server, noch der Provider kann zurück verfolgen, welche Webseiten du besuchst.
Auch dies ist nicht richtig. Hier lesen und btw wird JAP bald kostenpflichtig sein, sinnlos und Geld dafür bezahlen :confused:
Zitat:
Automatisches Downloaden von Updates aktivieren
Auch dies macht man nicht mehr, da eine Updates einen Neustart provizieren kann man zwar per Hack abschalten, aber dennoch macht es in Firmenumgebungen imho manuell.

Gruß :daumenhoc

Schrulli

BataAlexander 20.06.2006 07:40
Hallo,

sry für den Doppelpost, kann es leider nicht mehr editieren, daher hier eine Erklärung:
Zitat:
Auch dies macht man nicht mehr, da eine Updates einen Neustart provizieren kann man zwar per Hack abschalten, aber dennoch macht es in Firmenumgebungen imho manuell.
Soll heißen, das man die automatischen Updates in Produktivumgebunungen deaktiviert, da die Rechner dann kontrolliert neugestartet werden können.

Gruß

Schrulli


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131