Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Erbitte Hilfe bei BDS/Agent.AY (https://www.trojaner-board.de/8814-erbitte-hilfe-bds-agent-ay.html)

Die Kosmokatze 25.10.2004 18:53
Erbitte Hilfe bei BDS/Agent.AY
 
Hey,

auch auf meinem PC hat Antivir den BDS/Agent.AY entdeckt, kann ihn aber nicht endgültig entfernen. Über Google bin ich dann hier in diesem Forum gelandet und wäre super-froh, wenn jemand mir weiterhelfen könnte. Habe Katinkas Posts gelesen und habe versucht die Hilfeanweisungen weitmöglichst zu befolgen:

Also bei mir tauchen immer wieder folgende infizierte Dateien auf:

C:\Programme\Gemeinsame Dateien\orurlonq\meacsqbb\btdqcofma.oro
C:\Programme\Gemeinsame Dateien\orurlonq\offcumtfes\ubdbcnnrpp.top

Hijackthis erstellt folgenden Log:

Logfile of HijackThis v1.98.2
Scan saved at 19:24:56, on 25.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\helpctr.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\PROGRAMME\WINRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX01.578\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = D:\PROGRAMME\office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\office\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/129e84c2232b59d...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {94C53FB6-01B7-4BA7-848B-E43D11B84F5F} (WEB.DE IE Drop-Upload) - http://217.17.197.101/scripts/WDU_1251.cab


E-Scan habe ich jetzt auch heruntergeladen, doch blöderweise weiß ich nicht wie man den Computer im abgesicherten Modus startet, da beim Herauffahren F8-Drücken, wie die WindowsXP-Hilfe mir rät, nicht funktioniert.

Ich hoffe, ihr könnt mir weiterhelfen,
Grüße von der Kosmokatze

chaosman 25.10.2004 19:04
@Die Kosmokatze

abgesicherte modus
http://www.trojaner-board.de/63335-w...s-starten.html
dein problem fängt hier an
"Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)"

system un IE nicht auf den neuesten stand,(offen wie ein scheunentor)
hier hast du mindestens 3 probleme
http://www.sophos.de/virusinfo/analy...dloadercc.html
C:\Programme\WinTV\Ir.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
mache bitte dieses
Fangen wir mal ganz von vorne an.

1. Man installiert erstmal die Spybot 1.3.
http://www.safer-networking.org/de/download/index.html

2. Nun laed man sich die Spybot 1.3.1TX herunter
http://www.safer-networking.org/files/spybotsd131tx.exe

Bei dem Download ("spybotsd131txt.exe") handelt es sich um ein
Installationsprogramm, weches das Hauptprogramm (.exe) ersetzt.

3. Nachdem die "spybotsd131tx.exe" heruntergeladen ist, muss man diese
einfach ausführen. Das Installationsprogramm fragt nach, wo sich Ihr
Spybot S&D - Verzeichnis befindet.

Sollte die folgende Fehlermeldung erscheinen
================================================== ====
C:\Programme\spybot-search&destroy\spybotSD.exe
An error occurred while trying to replace the existing fiel:
deleteFile failed; code5.
Zugriff verweigert.
================================================== ====
laeuft noch das Hauptprogramm von Spybot im Hintergrund, und damit
kann das Installtionsprogramm die alte Datei nicht ueberschreiben, weil in
Benutzung ist.

4. Abschliessende Installation und starten von Spybot.

mache anschließend einen neuen HJT scan und poste es hier
chaosman

Die Kosmokatze 25.10.2004 19:21
Erstma Danke chaosman!
Soll ich die markierten Probleme bei Spybot beheben und dann hijackthis durchführen?

chaosman 25.10.2004 20:04
@Die Kosmokatze

ja

chaosman

Die Kosmokatze 26.10.2004 22:23
Hi,
gestern hat's leider mit der Zeit nicht mehr gereicht, ich hoffe heute kann mir jemand von Euch weiterhelfen:

Nach Spybot folgender Hijackthis Log:

Logfile of HijackThis v1.98.2
Scan saved at 22:24:41, on 26.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
D:\PROGRAMME\WINRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.138\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRAMME\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\PROGRAMME\office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\office\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/129e84c2232b59d...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {94C53FB6-01B7-4BA7-848B-E43D11B84F5F} (WEB.DE IE Drop-Upload) - http://217.17.197.101/scripts/WDU_1251.cab


Wäre heilfroh, wenn mir nochmal jemand helfen könnte meinen PC auf Vordermann zu bringen!

Daanke und Grüße
von der Kosmokatze

Die Kosmokatze 27.10.2004 00:22
Probier's morgen nochmal, gute Nacht
k

Shadowdance 27.10.2004 05:48
Hallo Die Kosmokatze,

Platform: Windows XP (WinNT 5.01.2600)/MSIE: Internet Explorer v6.00 (6.00.2600.0000) - lade Dir bitte das aktuelle Service Pack runter und update Deinen IE: www.windowsupdate.com. Solange Du diese Anweisung nicht befolgst, wirst Du pausenlos neue Malware auf dem System haben!

Überprüfe mit dem online-scan von Kaspersky:

C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE

Teile uns das Ergebnis der Überprüfung mit. Sende die infizierte Datei passwortgeschützt an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck).

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This:

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - ht*p://a1540.g.akamai.net/7/1540/52...meInstaller.exe

wenn Du folgende Einträge nicht kennst/brauchst bitte fixen:

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - ht*p://207.188.7.150/129e84c2232b59...RdxIE601_de.cab
O16 - DPF: {94C53FB6-01B7-4BA7-848B-E43D11B84F5F} (WEB.DE IE Drop-Upload) - ht*p://217.17.197.101/scripts/WDU_1251.cab

lösche

C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung,

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es.

SD

Die Kosmokatze 27.10.2004 13:56
Hey Shadowdance,

danke für die weiteren Anweisungen.

Die Überprüfung von Kaspersky ergab:


Zu überprüfende Datei: INSTAN~1.EXE

INSTAN~1.EXE Ok

Statistiken:
Bekannte Viren: 102419 Updated: 27-10-2004
Größe der Datei (Kb): 37 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0

Heißt, die Datei ist nicht infiziert? Soll ich sie trotzdem schicken?

ServicePack2 lässt sich nicht installieren, die anderen Updates werden regelmäßig gemacht. Gibt es ohne den SP2 keinen anderen ausreichenden Schutz?

Werde jetzt mal im agesicherten Modus die o.g. Dateien fixen.

Bis denn,
die kosmokatze

Die Kosmokatze 27.10.2004 16:22
So, habe es endlich geschafft, wäre toll wenn sich das nochmal jemand anschauen könnte:

eScan sagt:
Wed Oct 27 16:14:57 2004 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.

File C:\Programme\AVPersonal\INETUPD.EXE
Wed Oct 27 16:20:17 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Wed Oct 27 16:20:18 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\ESRFERQLM.EXE.VIR
Wed Oct 27 16:20:18 2004 => File C:\Programme\AVPersonal\INFECTED\ESRFERQLM.EXE.VIR tagged as not-a-virus:AdWare.Gator. No Action Taken.

Wed Oct 27 16:20:18 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\TMRDEQFC.EXE.VIR
Wed Oct 27 16:20:18 2004 => File C:\Programme\AVPersonal\INFECTED\TMRDEQFC.EXE.VIR tagged as not-a-virus:AdWare.Gator. No Action Taken.

Wed Oct 27 16:56:04 2004 => Total Files Scanned: 29645
Wed Oct 27 16:56:04 2004 => Total Virus(es) Found: 5
Wed Oct 27 16:56:04 2004 => Total Disinfected Files: 0
Wed Oct 27 16:56:04 2004 => Total Files Renamed: 0
Wed Oct 27 16:56:04 2004 => Total Deleted Files: 0
Wed Oct 27 16:56:04 2004 => Total Errors: 45
Wed Oct 27 16:56:05 2004 => Time Elapsed: 00:56:45
Wed Oct 27 16:56:05 2004 => Virus Database Date: 2004/10/25
Wed Oct 27 16:56:05 2004 => Virus Database Count: 107365

Wed Oct 27 16:56:05 2004 => Scan Completed.


Daraufhin sagt Hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 17:11:41, on 27.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\PROGRAMME\WINRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.429\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRAMME\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\TextBridge Classic 2.0\Ereg\REMIND32.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\PROGRAMME\office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\office\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe



??? Gut oder schlecht ???
Was auch immer, vielen Dank für's Weiterhelfen,
es grüßt euch
die Kosmokatze

Die Kosmokatze 27.10.2004 19:51
Schau morgen nochmal rein, wäre cool, wenn mir nochmal jemand hilft
Grüße k

MountainKing 27.10.2004 21:23
Sieht soweit gut aus, warum geht denn das SP 2 nicht?

jojo123 17.11.2004 11:07
Hallo!
Vielleicht kann mir ja auch jemand helfen. Werd diesen virus einfach nicht los. und ich möcht nich irgendwas beim hijack löschen, was wichtig sein könnte.

Hijackthis spuck folgende log aus:

Logfile of HijackThis v1.98.2
Scan saved at 10:05:57, on 17.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\WINDOWS\system32\P2P Networking\P2P Networking.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\RoamMgr.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Intel\Switching\User\RoamSvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\IVONNE\Eigene Dateien\Downloads\HijackThis.exe

R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {3299935F-2C5A-499A-9908-95CFFF6EF8C1} (Quicksilver Class) - http://scpwic.ops.placeware.com/etc/...uicksilver.cab


ich wär so dankbar wenn mir einer helfen könnte. dieses mistvieh nervt zur s..... :headbang:

Vielen dank im vorraus.....jojo

*Christian* 17.11.2004 17:19
Scanne mal hiermit im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html

Lösche anschl. die gefundenen Dateien manuell im abg. Modus.

Poste dann ein neues HijackThis-Log.

jojo123 22.11.2004 11:36
Also, hab das alles gemacht.

Hijackthis sagt jetzt folgendes:

Logfile of HijackThis v1.98.2
Scan saved at 10:33:04, on 22.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\RoamMgr.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Intel\Switching\User\RoamSvc.exe
C:\WINDOWS\SYSTEM32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\WINDOWS\system32\P2P Networking\P2P Networking.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Dokumente und Einstellungen\IVONNE\Eigene Dateien\Downloads\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {3299935F-2C5A-499A-9908-95CFFF6EF8C1} (Quicksilver Class) - http://scpwic.ops.placeware.com/etc/...uicksilver.cab

die datei, auf die mein antivir immer anschlägt wegen dem bds/agent.ay [gemeinsame datein/pntupolq] ist immer noch da.

ist der virus jetzt weg?
Thanx, jojo

Shadowdance 22.11.2004 19:04
@ jojo123

Zitat:
Zitat von jojo123
Also, hab das alles gemacht.
was hast Du gemacht? Was verstehst Du unter "alles"? Aus Deinem System ist nicht zu ersehen, dass Du den eScan ausgeführt hättest. Wenn es Dich nicht interessiert, was wir Dir raten, warum fragst Du dann um Hilfe?

Logfile-Auswertung:

bitte überprüfe mit virusscan.jotti.dhs.org:

C:\WINDOWS\System32\RoamMgr.exe
C:\Programme\Intel\Switching\User\RoamSvc.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2 a.exe

teile uns das Ergebnis der Überprüfung mit.

Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

wenn Du folgende Einträge nicht kennst/brauchst, bitte fixen:
(Häk'chen setzen und auf Fix Checked klicken):

O16 - DPF: {3299935F-2C5A-499A-9908-95CFFF6EF8C1} (Quicksilver Class) - h**p://scpwic.ops.placeware.com/etc...quicksilver.cab

boote in den normalen Modus.

Beende:
P2P Networking.exe
GMT.exe
CMESys.exe

lösche:
C:\WINDOWS\system32\P2P Networking\P2P Networking.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe

Aktiviere die Systemwiederherstellung.

Falls Du den eScan noch ausführen willst, wüssten wir gerne das Ergebnis des eScan, wieviele Viren welchen Namens befinden sich auf Deinem System?

SD

jojo123 23.11.2004 12:22
sorry, mich interessiert es sehr wohl, was ihr mir ratet. sonst hätte ich ja nicht um hilfe gebeten. ich will diesen virus ja loswerden.

Aber mit "ich hab alles gemacht" meine ich das, was *christian* mir geraten hat. Ich hab den escan durchgeführt und die (4) gefundenen dateien gelöscht. und dann ein neues log gepostet.

jedenfalls hab ich jetzt auch alles gemacht was du gesagt hast. nur C:\WINDOWS\system32\P2P Networking\P2P Networking.exe
lies sich nicht löschen, weil ich das programm angeblich in betrieb ist. ist es aber nicht.

hab jetzt als letztes den escan erneut durchgeführt und er hat jetzt nur noch einen virus gefunden:
c:\ ... \Tempor~1\Content.IE5.NRPRJTKW\Starinstall[1].ocx

soll ich die dateien einfach löschen? Hab echt keine ahnung. Ist der bds/agent weg? soll ich noch mal ein hijacklog posten?
Sorry, aber wär echt froh wenn ihr mir helfen könntet.

jojo123

Shadowdance 23.11.2004 16:11
@ jojo123

ich verstehe nicht, wieso der eScan nicht aus Deinem Logfile ersichtlich ist, wenn Du ihn durchgeführt hast. Normalerweise sieht man ihn in den laufenden Prozessen .. ich sehe ihn nicht.

Zitat:
C:\WINDOWS\system32\P2P Networking\P2P Networking.exe
lies sich nicht löschen, weil ich das programm angeblich in betrieb ist. ist es aber nicht.
--> HijackThis- Anleitung --> Button Delete a file on reboot... bitte lesen und tun.

Zitat:
c:\ ... \Tempor~1\Content.IE5.NRPRJTKW\Starinstall[1].ocx
--> Lade das ClearProg runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

Erstelle dann bitte ein neues Hijack This Logfile und poste es.

SD

jojo123 24.11.2004 12:30
Also,
das P2P Networking hab ich gelöscht. Genauso wie die Temporary Internetfiles etc. mit dem Programm.

Hier ist das neue Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 11:25:43, on 24.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\RoamMgr.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Intel\Switching\User\RoamSvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\IVONNE\Eigene Dateien\Downloads\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab


Aber ich versteh davon nur bahnhof. Ist der starinstaller oder was das war jetzt weg? Aber das ist nicht der bds/agent oder? weil diese pnt... Datei ist immer noch da.
Sorry, aber hab echt keien Ahnung von sowas.
Danke,
jojo

Shadowdance 24.11.2004 13:55
Hallo jojo123,

um diese Fragen beantworten zu können, bitte ich Dich um Deine Mitarbeit. In welchem Ordner befindet sich der eScan auf Deinem System? Wenn Du es nicht mehr weisst, gib bitte unter "Arbeitsplatz" in die Windows Suche "mwav.exe" ein, suche sie, kopiere den Pfad und gib den Pfad und den Datei-Namen hier an. Suche dann auf die gleiche Weise die Datei "kavupd.exe" und "mwav.log" ... gib jeweils Pfad und Deiteiname hier im Forum an (Dateien finden).

SD

jojo123 24.11.2004 14:09
Hallo Shadowdance,

Klar. Also,

mwav.exe: C:\Dokumente und Einstellungen\IVONNE\Eigene Dateien\Downloads

kavupd.exe: gibt es nicht ?!?

mwav.log: C:\Dokumente und Einstellungen\IVONNE\Eigene Dateien

jojo

Shadowdance 24.11.2004 15:27
@ jojo123,

--> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

Du hast so zu sehen, den Inhalt der "mwav.exe" auf Deinem System verteilt. Es handelt sich dabei um eine grössere Menge Dateien, die Du nun eigentlich löschen müsstest, aber dazu müsste ich Dir alle zu löschenden Dateien einzeln angeben .. das ist mir momentan zuviel Arbeit. --> Weiss jemand von Euch, wie man es schafft, alle Dateien des eScan auf einen Schlag zu kopieren und hier rein zu geben? Damit jojo123 die richtigen Dateien löscht? Gut, verschieben wir das ...

@ jojo123, sei bitte so nett und vergiss den eScan, den Du Dir runtergeladen hattest ... er kann nicht funktionieren, da Du die Gebrauchsanweisung nicht gelesen hast. Die Gebrauchsanweisung findest Du in der Anleitung. Also nochmal neu:

lade den eScan - über diesen Link -> Link (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. --> Du musst (!) für den eScan einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

--> Bitte ALLE Links genau durchlesen!

Teile uns nun bitte das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt

SD

jojo123 24.11.2004 16:35
@ shadowdance

ich hab jetzt alles so gemacht wie du gesagt hast. sorry, aber zu schnell klicken und nicht lesen ist ne schwäche von mir. sollte mir das echt merken.

hab jedenfalls jetzt die anleitung genau befolgt. hab erst die datei runtergeladen und alles in c:\bases entpackt. dann online upgedated und dann im abgesicherten modus den escan durchgeführt.

der escan hat aber keinen virus gefunden!

vielleicht hab ich schon wieder was verkehrt gemacht, aber ich hab die anleitung genau befolgt und gemacht was du gesagt hast.

was soll ich tun???

Shadowdance 24.11.2004 17:45
@ jojo123

"öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Kein Ergebnis? Poste dies:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****

Erstelle ein neues Hijack This Logfile und poste es.

SD

jojo123 25.11.2004 11:21
@ shadowdance

Also ich habe "infected" eingegeben bei suchen. Das steht in der mwav.log:

Wed Nov 24 15:21:58 2004 => Total Files Scanned: 3160
Wed Nov 24 15:21:58 2004 => Total Virus(es) Found: 0
Wed Nov 24 15:21:58 2004 => Total Disinfected Files: 0
Wed Nov 24 15:21:58 2004 => Total Files Renamed: 0
Wed Nov 24 15:21:58 2004 => Total Deleted Files: 0
Wed Nov 24 15:21:59 2004 => Total Errors: 0
Wed Nov 24 15:21:59 2004 => Time Elapsed: 00:03:35
Wed Nov 24 15:21:59 2004 => Virus Database Date: 2004/11/24
Wed Nov 24 15:21:59 2004 => Virus Database Count: 110416

Wed Nov 24 15:21:59 2004 => Scan Completed.


Und hier von hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 10:21:30, on 25.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\RoamMgr.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Intel\Switching\User\RoamSvc.exe
C:\Programme\Microsoft Office\Office\POWERPNT.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\IVONNE\Eigene Dateien\Downloads\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

Danke, jojo

Shadowdance 26.11.2004 23:30
@ jojo123,

sende bitte diese Datei

C:\WINDOWS\System32\RoamMgr.exe

passwortgeschützt (mit Angabe des Passworts in der Mail) an partytime-germany.ice@web.de und virus@hijackthis.de, mit Hinweis auf diesen Thread - zu Forschungszwecken.

SD

jojo123 29.11.2004 12:21
@shadowdance

Ich hab die datei passwortgeschützt an die beiden adressen gesendet.
Schon vielen Dank für deine Hilfe soweit. Aber was ist jetzt mit dem virus? Ist das diese datei? Oder ist der virus weg?

Danke, jojo

Shadowdance 29.11.2004 22:18
Hallo jojo123,

ich hab jetzt versucht Deinen Virus zu finden, das ist mir aber auch nicht gelungen. Du hattest auf unsere Empfehlung hin das ClearProg geladen und vermutlich ausgeführt, es kann also sein, dass Du damit auch den Virus los geworden bist.

Im Logfile des eScan steht, dass es keine Viren auf Deinem System gab. Dein Hijack This Logfile habe ich in der automatischen Auswertung abgespeichert, in deutsch. Dort bleibt es ca 5 Tage im Netz. Es gibt noch ein paar gelbe Fragezeichen, die Du bei virusscan.jotti.dhs.org untersuchen kannst.

Einen Virus sehe ich nicht.

Wenn Du keine Probleme mehr mit Deinem System hast, sollte es damit erledigt sein. Hier noch ein paar Tipps und denk über einen Browserwechsel nach:

- Vorbeugende Maßnahmen
- IE sicher konfigurieren und Browser-Sicherheit
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- Entfernung von Schädlingen und Kompromittierung unvermeidbar?
- faq.underflow.de
- Hijacker-Entfernung

SD

Haui45 29.11.2004 22:39
Sorry, wenn ich mich da einmische, aber ich sehe gerade folgendes
Zitat:
Wed Nov 24 15:21:58 2004 => Total Files Scanned: 3160
Wed Nov 24 15:21:58 2004 => Total Virus(es) Found: 0
Wed Nov 24 15:21:58 2004 => Total Disinfected Files: 0
Wed Nov 24 15:21:58 2004 => Total Files Renamed: 0
Wed Nov 24 15:21:58 2004 => Total Deleted Files: 0
Wed Nov 24 15:21:59 2004 => Total Errors: 0
Wed Nov 24 15:21:59 2004 => Time Elapsed: 00:03:35
Wed Nov 24 15:21:59 2004 => Virus Database Date: 2004/11/24
Wed Nov 24 15:21:59 2004 => Virus Database Count: 110416
=> das System wurde nicht gescannt, 3160 Files sind einfach zu wenig! eScan erneut durchführen und diesmal "all local drives" auswählen.
mfg Haui

jojo123 30.11.2004 12:08
Also, schon vielen dank für eure Hilfe. Dieses Forum wird absofort Nr. 1 in meinen Favoriten ;-)

Aber ich bin mir noch nicht so ganz sicher ob der virus jetzt weg ist. kann wirklich sein, dass ich ihn gelöscht habe, da mein antivir auch nicht mehr anschlägt. hab jetzt erst mal meien Firewall installiert und werde dann auch deine anderen Tips befolgen.

Und ich hab auch noch mal den escan durchgeführt. Dachte zwar, dass ich beim letzten mal auch alle dateien gescannt hatte, aber anscheinend wohl nicht. Jedenfalls kam das bei raus:

Tue Nov 30 10:04:29 2004 => ***** Scanning complete. *****

Tue Nov 30 10:04:29 2004 => Total Files Scanned: 9505
Tue Nov 30 10:04:29 2004 => Total Virus(es) Found: 0
Tue Nov 30 10:04:29 2004 => Total Disinfected Files: 0
Tue Nov 30 10:04:29 2004 => Total Files Renamed: 0
Tue Nov 30 10:04:29 2004 => Total Deleted Files: 0
Tue Nov 30 10:04:29 2004 => Total Errors: 1
Tue Nov 30 10:04:29 2004 => Time Elapsed: 00:08:13
Tue Nov 30 10:04:29 2004 => Virus Database Date: 2004/11/30
Tue Nov 30 10:04:29 2004 => Virus Database Count: 110982

Tue Nov 30 10:04:29 2004 => Scan Completed.

Also auch kein virus. Vielleicht ist er dann weg. Wir werden sehen. Ich warte erst mal und werd ja merken wenn mein antivir anschlägt. Wenn er wieder kommt, werde ich mich vertrauensvoll an shadowdance wenden (danke für die geduld!).

Thanx, jojo


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:01 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131