Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   SahAgent (Bundle.exe/wupdater) und KeenValue.eUniverse nicht wegzukriegen (https://www.trojaner-board.de/7237-sahagent-bundle-exe-wupdater-keenvalue-euniverse-wegzukriegen.html)

Klitschko 31.08.2004 21:56
SahAgent (Bundle.exe/wupdater) und KeenValue.eUniverse nicht wegzukriegen
 
Hallo,

bekomme o.g. Spyware (nur Registry-Änderungen) nicht runter vom System (winXP Pro mit SP1+2).
Habe neueste Versionen von AdAware Pro 1.03 SE,S&D 1.3 und AntiVir PE 6.27 installiert.
Die zusätzlichen 5 Sicherheitslöcher des IE stopft mir so schnell wohl keiner.
Hoffe, daß mir jemand helfen kann. Vorab schon vielen Dank.

*Christian* 31.08.2004 22:07
Die Sicherheitslöcher des IE kann dir keiner nehmen.
Benutze einfach einen anderen Browser: www.firefox-browser.de ist schnell, sicher und kostenlos.

Zu deinem Problem:
Scanne mal im abgesicherten Modus mit eScan: http://www.trojaner-board.de/showthread.php?t=6083

Danach poste mal ein HijackThis-Log: http://filepony.de/download-hijackthis/

Klitschko 01.09.2004 16:50
Hier nun das Logfile.
Habe es im abgesicherten Modus probiert und auch mit normalen Systemstart.
Das Ergebnis ist immer das gleiche. Die Registryänderungen mit bundle.exe und wupdater bleiben trotz Löschung erhalten. Die Dateien bundle.exe und wupdater.exe sind im System nicht auffindbar.

Logfile of HijackThis v1.97.7
Scan saved at 17:41:35, on 01.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\PestPatrol\ppRemoteService.exe
C:\Programme\Gemeinsame Dateien\pestpatrol\PPMCActiveDetection.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = wmplayer.exe //ICWLaunch
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [B'sCLiP] C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\Ingolf\LOKALE~1\Temp\bundle.exe
O4 - HKLM\..\Run: [updater] C:\Programme\Common files\updater\wupdater.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093705982248
O17 - HKLM\System\CCS\Services\Tcpip\..\{50A03BB2-ACE4-4EE9-8597-EC52B9751B82}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{50A03BB2-ACE4-4EE9-8597-EC52B9751B82}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{50A03BB2-ACE4-4EE9-8597-EC52B9751B82}: NameServer = 192.168.2.1

MountainKing 01.09.2004 17:04
Deaktiviere die Systemwiederherstellung:

http://www.systemwiederherstellung-d...indows-xp.html

dann fixe die beiden Einträge und starte neu, aktiviere die Wiederherstellung wieder und lösche die Dateien.

Führe dies durch:

http://www.trojaner-board.de/42731-escan-anleitung.html

danach erstelle ein neues log.


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:20 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131