|
BDS/Agent.AY verify my logs plz ;) Hi ich habe mir schon einiges durchgelesen hier im Forum, und festgestellt, dass einige den selben sch... Virus zu haben scheinen wie ich! ich bekomme mit AntiVir immer wieder die meldung, das BDS/Agent.AY im System ist. Die datein zu löschen ist auch biei mir sinnlos :( naja, daraufhin hab ich nen hijack gemacht. Logfile of HijackThis v1.98.2 Scan saved at 01:12:43, on 10.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\system32\ntvdm.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\AVPersonal\AVGNT.EXE E:\D-Tools\daemon.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe D:\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\webHancer\Programs\whAgent.exe C:\Programme\Web_Rebates\WebRebates0.exe E:\Winamp5\winampa.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\gearsec.exe C:\WINDOWS\System32\svchost.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Web_Rebates\WebRebates1.exe C:\WINDOWS\System32\wuauclt.exe E:\mozilla firefox\firefox.exe C:\DOKUME~1\Kalb\LOKALE~1\Temp\Rar$EX00.968\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.troopersofevil.de.vu/ F3 - REG:win.ini: run=lxdboxcp.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\programs\whiehlpr.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [iTunesHelper] D:\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [webHancer Agent] "C:\Program Files\webHancer\Programs\whAgent.exe" O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe" O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe O4 - HKLM\..\Run: [WinampAgent] E:\Winamp5\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKCU\..\Run: [DKMessenger] C:\Programme\DKware\DKMessenger\DKMessenger.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: Microsoft Office.lnk = E:\word2000\Office\OSA9.EXE O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\ICQ\ICQ.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O10 - Hijacked Internet access by WebHancer O10 - Hijacked Internet access by WebHancer O10 - Hijacked Internet access by WebHancer O10 - Hijacked Internet access by WebHancer O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab das war das erste log. daraufhin hab ich mir escan runtergeladen, geupdatet, und es im abgesicherten modus laufen lassen. Es wurden 8 Viren entdeckt, die aber nicht von Escan bearbeitet wurden, da ich es sonst kaufen müsste :/ naja die viren liste ich hier mal auf: C:\windows\webdll.dll c:\programme\webhan~\programs\whiehlpr.dll (wobei ich den ordner webhan~ nicht gefunden habe) c:\programme\gemeinsameDokumente\CMEII\CMEsys.exe c:\programme\webhan~\programs\whagent.exe c:\programme\webhan~\programs\whsurvey.exe c:\windows\whinstaller.exe c:\windows\whinstaller.ini c:\programme\web_rebates\webrebates0.exe [COLOR=DarkOrange]wh steht wohl für WebHancer Corporations zumindest wird mir das immer so in den Dateiinfos angezeigt. |
naja, danach habe ich noch einen Hijack gemacht. Hier die Log: Logfile of HijackThis v1.98.2 Scan saved at 01:45:21, on 10.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\system32\ntvdm.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\AVPersonal\AVGNT.EXE E:\D-Tools\daemon.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe D:\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\webHancer\Programs\whAgent.exe C:\Programme\Web_Rebates\WebRebates0.exe E:\Winamp5\winampa.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\gearsec.exe C:\WINDOWS\System32\svchost.exe C:\Programme\iPod\bin\iPodService.exe E:\winrar\WinRAR.exe C:\DOKUME~1\Kalb\LOKALE~1\Temp\Rar$EX00.500\HijackThis.exe C:\DOKUME~1\Kalb\LOKALE~1\Temp\Rar$EX00.063\HijackThis.exe C:\Programme\Web_Rebates\WebRebates1.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.troopersofevil.de.vu/ F3 - REG:win.ini: run=lxdboxcp.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\programs\whiehlpr.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [iTunesHelper] D:\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [webHancer Agent] "C:\Program Files\webHancer\Programs\whAgent.exe" O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe" O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe O4 - HKLM\..\Run: [WinampAgent] E:\Winamp5\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKCU\..\Run: [DKMessenger] C:\Programme\DKware\DKMessenger\DKMessenger.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: Microsoft Office.lnk = E:\word2000\Office\OSA9.EXE O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\ICQ\ICQ.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O10 - Hijacked Internet access by WebHancer O10 - Hijacked Internet access by WebHancer O10 - Hijacked Internet access by WebHancer O10 - Hijacked Internet access by WebHancer O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab ka ob sich da was verändert hat ;) Auffällig finde ich als absoluter laie nur die Zeilen zu Ende, wo der Access von WEBHANCER genannt wird.... |
Hallo, lade LSP-Fix und falls du keine I-net Verbindung mehr herstellen kannst, dann wende dieses Tool an. Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und deinstalliere unter Software folgende Programme: WebHancer und WebRebates Fixe diese Einträge (Haken setzen und auf Fix Checked klicken): O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\programs\whiehlpr.dll O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [webHancer Agent] "C:\Program Files\webHancer\Programs\whAgent.exe" O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe" O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O10 - Hijacked Internet access by WebHancer O10 - Hijacked Internet access by WebHancer O10 - Hijacked Internet access by WebHancer O10 - Hijacked Internet access by WebHancer O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing Lösche diese Dateien: Ordner C:\Programme\Web_Rebates Ordner C:\Program Files\webHancer C:\windows\webdll.dll c:\programme\gemeinsameDokumente\CMEII\CMEsys.exe c:\windows\whinstaller.exe c:\windows\whinstaller.ini Poste ein neues HJT Log-File. |
so, habe deine Anweisugen befolgt: also probleme ins internet zu kommen habe ich net! Die Zeile mit dem LSP X-Fire.dll kan er nicht fixen. Nachdem ich die Webrebates und Webhancer unter Software deinstalliert habe waren einige der Zeilen shon nicht mehr vorhanden. auch die Datei C:\windows\webdll.dll war nicht vorhanden. desweiteren habe ich zu guter letzt noch meine platte c:\ nach den zu löschenden datein (oder ähnlichen) durchsucht. Ich habe noch eine weitere datei gefunden, die webrebates0.exe hieß. Habe auch die gelöscht. Hier ist nun mein neues Log: Logfile of HijackThis v1.98.2 Scan saved at 12:48:06, on 10.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\system32\ntvdm.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\AVPersonal\AVGNT.EXE E:\D-Tools\daemon.exe D:\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\SOUNDMAN.EXE E:\Winamp5\winampa.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\gearsec.exe C:\WINDOWS\System32\svchost.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe E:\winrar\WinRAR.exe C:\DOKUME~1\Kalb\LOKALE~1\Temp\Rar$EX00.859\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.troopersofevil.de.vu/ F3 - REG:win.ini: run=lxdboxcp.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [iTunesHelper] D:\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe O4 - HKLM\..\Run: [WinampAgent] E:\Winamp5\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKCU\..\Run: [DKMessenger] C:\Programme\DKware\DKMessenger\DKMessenger.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: Microsoft Office.lnk = E:\word2000\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\ICQ\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab |
habe antivir laufen lassen. die Virusmeldung erscheint erneut. Der Virus erstellt immer eine Datei C:\PROGRAMME\GEMEINSAME DATEIEN\EFBOLMNR\CQPSSBBA\BTTTEBFD.EXE :( |
hm, ich habe meine registry jetzt 3 mal komplett durchsucht! ich habe noch 3 einträge gelöscht, die in irgendeiner weise damit zu tun haben. dennoch, dieser BDS/agent meldet sich immer wieder. die datei wird immer wieder angelegt, und alle versuche scheitern kläglich!!! Ich habe die Datei jetzt in das Quarantäneverzeichnis verschoben....glaube aber nicht, das es was bringt |
Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken): O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing Wende eScan wie hier beschrieben an und lösche die infizierten Dateien manuell: http://www.trojaner-board.de/42731-escan-anleitung.html Poste danach die Virus Log Information von eScan AntiVirus: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. |
Danke erstmal Cidre! Ich habe das problem glaub ich so schon gelöst. Bei mir war der Ordner GMT infiziert. Hat er aber erst nicht angezeit :/ Naja, da er überflüssig ist, bin ich damit genauso vorgegangen wie mit dem rest, abgesichert ohne systemwiderherstellung egstartet und gelöscht. Scheint geklappt zu haben, mein system ist sauber! Wenn doch noch was auftaucht meld ich mich wieder :d Und diese Seite empfehle ich auf jedenfall weiter ;) greetz DaKalb |
habe ebenfalls dieses problem hier mein log file und welche meldungen ich von antivir bekomme. habe schon einiges probiert ich hoffe ihr koennt mir helfen. danke schon mal imvorraus das macht mich naemlich wahnsinnig :balla: BDS/Agent.AY Ist das Trojanische Pferd TR/LowZones.A.2 C:\TEMP\MSBB.EXE Trojanische Pferd TR/Dldr.Ist.15360.A C:\TEMP\LC.EXE Ist das Trojanische Pferd TR/Dldr.Dyfuca.DA C:\TEMP\OPTIMIZE.EXE Ist das Trojanische Pferd TR/Drop.Delf.DJ.4 C:\TEMP\INSTALLER2.EXE Ist das Trojanische Pferd TR/Dldr.Ist.15360.A C:\TEMP\LC.EXE Logfile of HijackThis v1.98.2 Scan saved at 12:20:30 AM, on 10/11/2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\windows\system\hpsysdrv.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\system32\ps2.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe C:\Program Files\Common Files\CMEII\CMESys.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Program Files\QuickTime\qttask.exe C:\PROGRA~1\Save\Save.exe C:\Program Files\support.com\bin\tgcmd.exe C:\Program Files\Windows SyncroAd\SyncroAd.exe C:\Program Files\AVPersonal\AVGNT.EXE C:\Program Files\Windows SyncroAd\WinSync.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\ClockSync\Sync.exe C:\Program Files\Date Manager\DateManager.exe C:\Program Files\FinePixViewer\QuickDCF.exe C:\Program Files\Common Files\GMT\GMT.exe C:\Program Files\AVPersonal\AVGUARD.EXE C:\Program Files\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Web_Rebates\WebRebates1.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Web_Rebates\WebRebates0.exe C:\Program Files\Ahead\Nero\nero.exe C:\WINDOWS\System32\imapi.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Microsoft Office\Office10\WINWORD.EXE C:\DOCUME~1\Owner\LOCALS~1\Temp\Rar$EX02.500\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qus9.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qus9.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qus9.hpwis.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.comcast.net/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qus9.hpwis.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.comcast.net/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Comcast R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\COMMON~1\Real\Toolbar\realbar.dll O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\COMMON~1\Real\Toolbar\realbar.dll O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Common Files\CMEII\CMESys.exe" O4 - HKLM\..\Run: [eanth_critical_update_alert] C:\PROGRA~1\ACCELE~1\ANTI-V~1\EANTH_~1.EXE /Startup O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe O4 - HKLM\..\Run: [tgcmd] "C:\Program Files\support.com\bin\tgcmd.exe" /server O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe" O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ClockSync] "C:\Program Files\ClockSync\Sync.exe" /q O4 - Global Startup: Date Manager.lnk = C:\Program Files\Date Manager\DateManager.exe O4 - Global Startup: Exif Launcher.lnk = ? O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ComcastHSI - {669B269B-0D4E-41FB-A3D8-FD67CA94F646} - http://www.comcast.net/ (file missing) O9 - Extra button: Support - {8828075D-D097-4055-AA02-2DBFA9D85E8A} - http://www.comcastsupport.com/ (file missing) O9 - Extra button: Help - {97809617-3937-4F84-B335-9BB05EF1A8D4} - http://online.comcast.net/help/ (file missing) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...b04dcf28cf3274 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097282819081 O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/act...a/SymAData.dll O16 - DPF: {E2F2B9D0-96B9-4B25-B90C-636ECB207D18} - http://www.whenusearch.com/WUInstSECS.cab |
Hallo penny, den Inhalt des Ordners C:\TEMP bitte löschen, entweder von Hand oder mit dem Clear Prog, mit dem Du dann auch gleich die Ordner Cookies und Temporary Internet Files leeren kannst. Lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com. Dann empfehle ich Dir, Dein System mit dem eScan zu kontrollieren: lade das Programm runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht mehr automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden, siehe eScan: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen! Teile uns das Ergebnis des eScan (welche Viren wurden auf Deinem Rechner gefunden) mit, erstelle ein neues Logfile mit Hijack This und poste es. SD |
hi showdance, erst mal veilen dank fuer die schnelle hilfe. habe gemacht was du mir geraten hast und poste nun das neue file und die escan ergebnisse. thanx Mon Oct 11 23:33:20 2004 => Total Number of Files Scanned: 94274 Mon Oct 11 23:33:20 2004 => Total Number of Virus(es) Found: 36 Mon Oct 11 23:33:20 2004 => Total Number of Disinfected Files: 0 Mon Oct 11 23:33:20 2004 => Total Number of Files Renamed: 25 Mon Oct 11 23:33:20 2004 => Total Number of Deleted Files: 8 Mon Oct 11 23:33:20 2004 => Total Number of Errors: 1 Mon Oct 11 23:33:20 2004 => Time Elapsed: 01:41:51 Mon Oct 11 23:33:20 2004 => Virus Database Date: 2004/10/12 Mon Oct 11 23:33:20 2004 => Virus Database Count: 106241 File C:\PROGRA~1\COMMON~1\CMEII\CMESys.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed. File C:\PROGRA~1\BULLSE~1\bin\bargains.exe infected by "not-a-virus:AdvWare.BargainBuddy.i" Virus. Action Taken: File Renamed. File C:\WINDOWS\system32\exdl.exe infected by "not-a-virus:AdvWare.BargainBuddy.j" Virus. Action Taken: File Renamed. File C:\WINDOWS\system32\exul.exe tagged as not-a-virus:RiskWare.PSWTool.EDialer. No Action Taken. File C:\hp\bin\Terminator.exe tagged as not-a-virus:RiskWare.Tool.KillApp. No Action Taken. File C:\hp\bin\win32all-146.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Program Files\AVPersonal\INFECTED\ELLEBDJAP.EXE.VIR infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed. File C:\Program Files\AVPersonal\INFECTED\INSTALLER2.EXE.001 infected by "TrojanDropper.Win32.Delf.z" Virus. Action Taken: File Deleted. File C:\Program Files\AVPersonal\INFECTED\INSTALLER2.EXE.002 infected by "TrojanDropper.Win32.Delf.z" Virus. Action Taken: File Deleted. File C:\Program Files\AVPersonal\INFECTED\INSTALLER2.EXE.VIR infected by "TrojanDropper.Win32.Delf.z" Virus. Action Taken: File Deleted. File C:\Program Files\AVPersonal\INFECTED\LC.EXE.001 infected by "not-a-virus:AdvWare.BetterInternet" Virus. Action Taken: File Renamed. File C:\Program Files\AVPersonal\INFECTED\LC.EXE.002 infected by "not-a-virus:AdvWare.BetterInternet" Virus. Action Taken: File Renamed. File C:\Program Files\AVPersonal\INFECTED\LC.EXE.003 infected by "not-a-virus:AdvWare.BetterInternet" Virus. Action Taken: File Renamed. File C:\Program Files\AVPersonal\INFECTED\LC.EXE.VIR infected by "not-a-virus:AdvWare.BetterInternet" Virus. Action Taken: File Renamed. File C:\Program Files\AVPersonal\INFECTED\MSBB.EXE.VIR infected by "not-a-virus:AdvWare.180Solutions" Virus. Action Taken: File Renamed. File C:\Program Files\AVPersonal\INFECTED\OPTIMIZE.EXE.001 infected by "TrojanDownloader.Win32.Dyfuca.da" Virus. Action Taken: File Deleted. File C:\Program Files\AVPersonal\INFECTED\OPTIMIZE.EXE.002 infected by "TrojanDownloader.Win32.Dyfuca.da" Virus. Action Taken: File Deleted. File C:\Program Files\AVPersonal\INFECTED\OPTIMIZE.EXE.003 infected by "TrojanDownloader.Win32.Dyfuca.da" Virus. Action Taken: File Deleted. File C:\Program Files\AVPersonal\INFECTED\OPTIMIZE.EXE.004 infected by "TrojanDownloader.Win32.Dyfuca.da" Virus. Action Taken: File Deleted. File C:\Program Files\AVPersonal\INFECTED\OPTIMIZE.EXE.VIR infected by "TrojanDownloader.Win32.Dyfuca.da" Virus. Action Taken: File Deleted. File C:\Program Files\Codec Pack de ELISOFT\divx502\gain_trickler_3202.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed. File C:\Program Files\Codec Pack de ELISOFT\divx505\gain_trickler_3202.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed. File C:\Program Files\Common Files\GMT\EGGCEngine.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed. File C:\Program Files\Common Files\GMT\egIEEngine.dll infected by "not-a-virus:AdvWare.Gain.6041" Virus. Action Taken: File Renamed. File C:\Program Files\Common Files\GMT\EGIEProcess.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed. File C:\Program Files\Common Files\GMT\EGNSEngine.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed. File C:\Program Files\Common Files\GMT\GatorStubSetup.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed. File C:\Program Files\Common Files\GMT\GMT.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed. File C:\Program Files\Common Files\GMT\gtrawbm.fil infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed. File C:\Program Files\FileSubmit\Icon Collection\nnez_388.exe infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: File Renamed. File C:\Program Files\Web_Rebates\disp1150.exe infected by "not-a-virus:AdvWare.WebRebates.c" Virus. Action Taken: File Renamed. File C:\Program Files\WildTangent\Apps\gcinstall.exe infected by "not-a-virus:AdvWare.WildTangent" Virus. Action Taken: File Renamed. File C:\Program Files\Windows SyncroAd\SyncroAd.exe infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: File Renamed. File C:\WINDOWS\Downloaded Program Files\HDPlugin1015.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed. File C:\WINDOWS\Downloaded Program Files\WUInst.dll infected by "not-a-virus:AdvWare.SaveNow.ab" Virus. Action Taken: File Renamed. File C:\WINDOWS\Lycos\ss_IGN1_setup.exe infected by "not-a-virus:AdvWare.SideSearch.d" Virus. Action Taken: File Renamed. |
hi showdance, zu viel text also heir teil 2 Logfile of HijackThis v1.98.2 Scan saved at 11:45:37 AM, on 10/12/2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\AVPersonal\AVGUARD.EXE C:\Program Files\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wscntfy.exe C:\windows\system\hpsysdrv.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\system32\ps2.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\support.com\bin\tgcmd.exe C:\Program Files\AVPersonal\AVGNT.EXE C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Date Manager\DateManager.exe C:\Program Files\FinePixViewer\QuickDCF.exe C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\WinRAR\WinRAR.exe C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\Owner\LOCALS~1\Temp\Rar$EX00.172\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qus9.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qus9.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qus9.hpwis.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.comcast.net/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qus9.hpwis.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.comcast.net/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Comcast R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\COMMON~1\Real\Toolbar\realbar.dll O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\COMMON~1\Real\Toolbar\realbar.dll O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [eanth_critical_update_alert] C:\PROGRA~1\ACCELE~1\ANTI-V~1\EANTH_~1.EXE /Startup O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE O4 - HKLM\..\Run: [tgcmd] "C:\Program Files\support.com\bin\tgcmd.exe" /server O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: Date Manager.lnk = C:\Program Files\Date Manager\DateManager.exe O4 - Global Startup: Exif Launcher.lnk = ? O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ComcastHSI - {669B269B-0D4E-41FB-A3D8-FD67CA94F646} - http://www.comcast.net/ (file missing) O9 - Extra button: Support - {8828075D-D097-4055-AA02-2DBFA9D85E8A} - http://www.comcastsupport.com/ (file missing) O9 - Extra button: Help - {97809617-3937-4F84-B335-9BB05EF1A8D4} - http://online.comcast.net/help/ (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097282819081 O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/act...a/SymAData.dll |
Lösche diese Datei im abgesicherten Modus: C:\WINDOWS\System32\msbe.dll Fixe dies: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qus9.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qus9.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qus9.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qus9.hpwis.com/ O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\COMMON~1\Real\Toolbar\realbar.dll O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe O4 - HKLM\..\Run: [eanth_critical_update_alert] C:\PROGRA~1\ACCELE~1\ANTI-V~1\EANTH_~1.EXE /Startup O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe" O4 - Global Startup: Date Manager.lnk = C:\Program Files\Date Manager\DateManager.exe O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: ComcastHSI - {669B269B-0D4E-41FB-A3D8-FD67CA94F646} - http://www.comcast.net/ (file missing) O9 - Extra button: Support - {8828075D-D097-4055-AA02-2DBFA9D85E8A} - http://www.comcastsupport.com/ (file missing) O9 - Extra button: Help - {97809617-3937-4F84-B335-9BB05EF1A8D4} - http://online.comcast.net/help/ (file missing) O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...b?1097282819081 O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/ac...ta/SymAData.dll Downloade dir mal Spybot: www.safer-networking.de Updates es und scanne. Lasse anschließend alle Probleme beheben. |
Hallo zusammen, habe durch AntiVir neulich erfahren, daß ich auch den BDS/Agent.AY auf dem Rechner habe. Allerdings scheint er entfernt worden zu sein (?). EScan hat dann aber noch andere Dinge gefunden: Mon Oct 11 22:44:46 2004 => ***** Scanning complete. ***** Mon Oct 11 22:44:46 2004 => Total Files Scanned: 67358 Mon Oct 11 22:44:46 2004 => Total Virus(es) Found: 18 Mon Oct 11 22:44:46 2004 => Total Disinfected Files: 0 Mon Oct 11 22:44:46 2004 => Total Files Renamed: 0 Mon Oct 11 22:44:46 2004 => Total Deleted Files: 0 Mon Oct 11 22:44:46 2004 => Total Errors: 6 Mon Oct 11 22:44:46 2004 => Time Elapsed: 01:38:49 Mon Oct 11 22:44:46 2004 => Virus Database Date: 2004/10/11 Mon Oct 11 22:44:46 2004 => Virus Database Count: 106232 Mon Oct 11 22:44:46 2004 => Scan Completed. File C:\Programme\NewDotNet\newdotnet6_38.dll infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: No Action Taken. File C:\PROGRA~1\GEMEIN~1\CMEII\CMESYS.EXE infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\cd_clint.dll infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: No Action Taken. File C:\WINDOWS\OPTIONS\CABS\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken. File C:\WINDOWS\SYSTEM\cd_clint.dll infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: No Action Taken. File C:\WINDOWS\TEMP\Rest_de.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\WINDOWS\Temporary Internet Files\Content.IE5\184VTXS5\d[2].hta infected by "TrojanDropper.VBS.Inor.ag" Virus. Action Taken: No Action Taken. File C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll infected by "not-a-virus:AdvWare.Gain.6041" Virus. Action Taken: No Action Taken. File C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\Programme\Gemeinsame Dateien\GMT\GMT.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken. File C:\Programme\Grokster\cd_install.exe infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: No Action Taken. File C:\Programme\NewDotNet\newdotnet6_38.dll infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: No Action Taken. File C:\Bin\Divx\DivXPro503GAINBundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Bin\Divx\GDiVX1.9.9.2.exe infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: No Action Taken. Mit HJT habe ich dieses Log bekommen: Logfile of HijackThis v1.98.2 Scan saved at 20:35:48, on 12.10.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE C:\PROGRAMME\BORLAND\INTERBASE\BIN\IBGUARD.EXE C:\WINDOWS\RUNDLL32.EXE C:\PROGRAMME\LINKFAX PRO\LAUNCHER.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE C:\PROGRAMME\BORLAND\INTERBASE\BIN\IBSERVER.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE C:\PROGRAMME\LINKFAX PRO\MFP.EXE C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://portfolio.onvista.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arlt.com/index.html F1 - win.ini: run=C:\WINDOWS\hpfsched.exe O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [SoundMan] soundman.exe O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE" O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART O4 - HKLM\..\Run: [InterBaseGuardian] C:\Programme\Borland\InterBase\bin\ibguard.exe -a O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - Startup: launcher.lnk = C:\Programme\Linkfax Pro\launcher.exe O4 - Startup: Update Grokster.lnk = C:\PROGRA~1\GROKSTER\WiseUpdt.exe O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O15 - Trusted Zone: http://*.windowsupdate.com O16 - DPF: {C7932801-AF0C-11D6-8137-0050DA5F0293} (RdxIE Class) - http://www.grokster.com/rdx/RdxIE.cab Was soll ich tun? Kann mir jemand helfen? Gruß Beck |
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:42 Uhr. |
Copyright ©2000-2025, Trojaner-Board