Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Sicherheit (https://www.dedies-board.de/wbb2/board.php?boardid=6)
-- Anti-Virenboard (https://www.dedies-board.de/wbb2/board.php?boardid=8)
--- Trojaner! Brauche Hilfe (https://www.dedies-board.de/wbb2/thread.php?threadid=373)
Geschrieben von longhairjoe am 24.05.2005 um 20:48:
Trojaner! Brauche Hilfe
Hallo Leute, auch ich hab mir trojaner eingefangen und krieg sie nicht weg.
AV meldet TR/Agent.BI und TR/Dldr.Agent.BQ
Hier mein logfile (anmerkung mache das zum erstenmal bitte um ausführliche hilfe-bin noch anfänger)
Logfile of HijackThis v1.99.1
Scan saved at 20:07:46, on 24.05.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\APACHE\APACHE.EXE
C:\PROGRAMME\NORTON UTILITIES\NPROTECT.EXE
C:\APACHE\APACHE.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\MULTIMEDIA KEYBOARD\MULTIMEDIA KEYBOARD\1.1\KBDAP32A.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\CYBERLINK DVD SOLUTION\POWERDVD\PDVDSERV.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\PROGRAMME\NORTON UTILITIES\SYSDOC32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\T-ONLINE FOTOSERVICE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE FOTOSERVICE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\T-ONLINE FOTOSERVICE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\PROFILEMGR.EXE
C:\PROGRAMME\MOZILLA\MOZILLA\MOZILLA.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\WINCOMMANDER\WINCMD32.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = h**p://google.de
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://google.de
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = h**p://google.de
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = h**p://google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\nksps.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\nksps.dll/sp.html#93256
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\nksps.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\nksps.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\nksps.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\nksps.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\nksps.dll/sp.html#93256
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microfots Indernett Explodierer von Joe
R3 - Default URLSearchHook is missing
N1 - Netscape 4: user_pref("browser.startup.homepage", "h**p://google.de"); (C:\Programme\Netscape\Users\default\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Class - {C0B4A97D-E166-016C-9557-B10E1E67B6BD} - C:\WINDOWS\SDKYJ.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Cat's Claw] C:\NORMAN\WIN95\Claw95.exe
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [VortexTray] ASP4TRAY.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [RegisterDropHandler] C:\Programme\ScannerU\TBRIDGE\BIN\RegisterDropHandler.EXE
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE FOTOSERVICE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WARN\WARN0190.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [navi] "C:\Programme\VeriSign\NAVI\naviagent.exe" manifest="h**ps://manifest.verisign-grs.com/manifest98.xml" guid={B562BC94-9A3A-4760-AE48-0D52FD01B1B5} interface={3FEFF9F3-B5F5-4F47-BB96-CE281BFBE15D}
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [W32_ADAPI] C:\WINDOWS\adapi.exe
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
O4 - HKLM\..\Run: [NTGW32.EXE] C:\WINDOWS\NTGW32.EXE
O4 - HKLM\..\Run: [APIZH.EXE] C:\WINDOWS\SYSTEM\APIZH.EXE
O4 - HKLM\..\Run: [IPRF32.EXE] C:\WINDOWS\SYSTEM\IPRF32.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\Programme\ScannerU\TBRIDGE\BIN\RegisterDropHandler.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [PHPGeekUtil] "C:\APACHE\APACHE.EXE" -k start -n PHPGeekUtil
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE
O4 - Startup: MultiMedia Keyboard 1.1 (2).lnk = C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
O4 - Startup: Norton System Doctor.lnk = C:\Programme\Norton Utilities\SYSDOC32.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - h**p://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - h**p://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_1_3.DLL (file missing)
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_1_3.DLL (file missing)
O12 - Plugin for .ivr: C:\Program Files\Internet Explorer\PLUGINS\NPRVRT32.dll
O12 - Plugin for .fpx: C:\Program Files\Internet Explorer\PLUGINS\NPRVRT32.dll
O12 - Plugin for .svg: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\NPSVGVw.dll
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=h**p://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/12b9f79af6fb59bbb505/netzip/RdxIE601_de.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O19 - User stylesheet: (file missing)
O21 - SSODL: DDE Control Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)
O21 - SSODL: systemie - {9A8EC1E0-BE14-11D8-91C9-000795BA67BD} - systemie.dll (file missing)
O21 - SSODL: System - {F8713620-BE5B-11D8-91C9-000795BA67BD} - C:\WINDOWS\system32\system32.dll
vielen Dank an Euch schon mal
Grüße longhairjoe
Geschrieben von Haui am 24.05.2005 um 21:14:
Hallo,
dein Logfile schaut leider gar nicht gut aus, d.h. es befinden sich relativ viele Einträge in der Registry, die auf Malware schließen lassen.
Führe deshalb bitte zunächst einen Scan mit
eScan durch und poste die Funde.
Geschrieben von dedie am 24.05.2005 um 22:15:
Muß mich da leider der Meinung von "Haui" anschließen, wenn nur ein Bruchteill der im HJT gefundenen Malware via "eScan" bestätigt wird solltest du dich mit dem gedanken des Formatierens und anschließenden Neuaufsetzen deines Rechners so langsam anfreunden.
Geschrieben von longhairjoe am 25.05.2005 um 04:15:
Erstmal Danke für eure Antworten
Habe jetzt den escan durchgeführt und (hoffentlich) alle relevanten einträege übertragen hier ist die liste.
Tue May 24 22:08:14 2005 => File C:\WINDOWS\SDKYJ.DLL infected by "Trojan-Downloader.Win32.Agent.lz"
Tue May 24 22:08:24 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})!
Tue May 24 22:08:24 2005 => System found infected with CoolWebSearch Spyware/Adware ({3F143C3A-1457-6CCA-03A7-7AA23B61E40F})!
Tue May 24 22:08:42 2005 => System found infected with WindUpdate Spyware/Adware (ide21201.vxd)!
Tue May 24 22:08:45 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)!
Tue May 24 22:08:47 2005 => System found infected with VX2 Spyware/Adware (localnrd.dll)!
Tue May 24 22:08:47 2005 => System found infected with VX2 Spyware/Adware (localNrd.inf)!
Tue May 24 22:09:31 2005 => File C:\WINDOWS\narfzl.dat infected by "Trojan-Downloader.Win32.Agent.lz"
Tue May 24 22:09:31 2005 => File C:\WINDOWS\atlhs32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus!
Tue May 24 22:09:31 2005 => File C:\WINDOWS\ntiz32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus!
Tue May 24 22:09:31 2005 => File C:\WINDOWS\d3fr.exe infected by "Trojan.Win32.Agent.bi" Virus!
Tue May 24 22:09:31 2005 => File C:\WINDOWS\apipc.exe infected by "Trojan.Win32.Agent.bi" Virus!
Tue May 24 22:09:31 2005 => File C:\WINDOWS\javaxt.exe infected by "Trojan.Win32.Agent.bi" Virus!
Tue May 24 22:09:31 2005 => File C:\WINDOWS\netsh.exe infected by "Trojan.Win32.Agent.bi" Virus!
Tue May 24 22:09:31 2005 => File C:\WINDOWS\d3fr.exe infected by "Trojan.Win32.Agent.bi" Virus!
Tue May 24 22:11:13 2005 => File C:\WINDOWS\SYSTEM\msnc32.exe infected by "Trojan.Win32.Agent.bi" Virus!
Tue May 24 22:11:13 2005 => File C:\WINDOWS\SYSTEM\ipek32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus!
Tue May 24 22:11:13 2005 => File C:\WINDOWS\SYSTEM\atlef32.exe infected by "Trojan.Win32.Agent.bi" Virus!
Tue May 24 22:11:13 2005 => File C:\WINDOWS\SYSTEM\msxo.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus!
Tue May 24 22:11:14 2005 => File C:\WINDOWS\SYSTEM\sdkgj.exe infected by "Trojan.Win32.Agent.bi" Virus!
Tue May 24 22:11:14 2005 => File C:\WINDOWS\SYSTEM\sdkqd32.exe infected by "Trojan.Win32.Agent.bi" Virus!
Tue May 24 22:11:14 2005 => File C:\WINDOWS\SYSTEM\javaue.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus!
Tue May 24 22:11:14 2005 => File C:\WINDOWS\SYSTEM\mfcyc32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus!
Tue May 24 22:11:14 2005 => File C:\WINDOWS\SYSTEM\winuq32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus!
Tue May 24 22:11:14 2005 => File C:\WINDOWS\SYSTEM\netga32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus!
Tue May 24 22:11:14 2005 => File C:\WINDOWS\SYSTEM\mfcup32.exe infected by "Trojan.Win32.Agent.bi" Virus!
Tue May 24 22:11:14 2005 => File C:\WINDOWS\SYSTEM\mstx.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus!
Tue May 24 22:11:14 2005 => File C:\WINDOWS\SYSTEM\netrg.exe infected by "Trojan.Win32.Agent.bi" Virus!
Tue May 24 22:11:14 2005 => File C:\WINDOWS\SYSTEM\javayr.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus!
Tue May 24 22:16:34 2005 => File C:\WINDOWS\SYSTEM\msnc32.exe infected by "Trojan.Win32.Agent.bi" Virus!
Tue May 24 22:16:34 2005 => File C:\WINDOWS\SYSTEM\ipek32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus!
Tue May 24 22:16:34 2005 => File C:\WINDOWS\SYSTEM\atlef32.exe infected by "Trojan.Win32.Agent.bi" Virus!
Tue May 24 22:16:34 2005 => File C:\WINDOWS\SYSTEM\msxo.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus!
Tue May 24 22:16:34 2005 => File C:\WINDOWS\SYSTEM\sdkgj.exe infected by "Trojan.Win32.Agent.bi" Virus!
Tue May 24 22:16:34 2005 => File C:\WINDOWS\SYSTEM\sdkqd32.exe infected by "Trojan.Win32.Agent.bi" Virus!
Tue May 24 22:16:34 2005 => File C:\WINDOWS\SYSTEM\javaue.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus!
Tue May 24 22:16:34 2005 => File C:\WINDOWS\SYSTEM\mfcyc32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus!
Tue May 24 22:16:34 2005 => File C:\WINDOWS\SYSTEM\winuq32.exe infected by "Trojan-Downloader.Win32.Agent.bq"
Tue May 24 22:16:34 2005 => File C:\WINDOWS\SYSTEM\netga32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus!
Tue May 24 22:16:34 2005 => File C:\WINDOWS\SYSTEM\mfcup32.exe infected by "Trojan.Win32.Agent.bi" Virus!
Tue May 24 22:16:34 2005 => File C:\WINDOWS\SYSTEM\mstx.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus!
Tue May 24 22:16:34 2005 => File C:\WINDOWS\SYSTEM\netrg.exe infected by "Trojan.Win32.Agent.bi" Virus!
Tue May 24 22:16:34 2005 => File C:\WINDOWS\SYSTEM\javayr.exe infected by "Trojan-Downloader.Win32.Agent.bq"
Tue May 24 22:21:58 2005 => File C:\WINDOWS\Downloaded Program Files\d_tony2.txt infected by "Trojan.Win32.Dialer.ce"
Tue May 24 22:23:44 2005 => File C:\WINDOWS\narfzl.dat infected by "Trojan-Downloader.Win32.Agent.lz"
Tue May 24 22:23:44 2005 => File C:\WINDOWS\atlhs32.exe infected by "Trojan-Downloader.Win32.Agent.bq"
Tue May 24 22:23:44 2005 => File C:\WINDOWS\ntiz32.exe infected by "Trojan-Downloader.Win32.Agent.bq"
Tue May 24 22:23:45 2005 => File C:\WINDOWS\apipc.exe infected by "Trojan.Win32.Agent.bi"
Tue May 24 22:23:45 2005 => File C:\WINDOWS\javaxt.exe infected by "Trojan.Win32.Agent.bi
Tue May 24 22:23:45 2005 => File C:\WINDOWS\netsh.exe infected by "Trojan.Win32.Agent.bi"
Tue May 24 22:23:45 2005 => File C:\WINDOWS\d3fr.exe infected by "Trojan.Win32.Agent.bi"
Tue May 24 23:03:09 2005 => File C:\Programme\AVPersonal\Infected\0507DAF8.27E infected by "Trojan.Win32.Agent.bi"
Tue May 24 23:03:10 2005 => File C:\Programme\AVPersonal\Infected\A30E0012.2EB infected by "Trojan-Downloader.Win32.Agent.bq"
Tue May 24 23:03:10 2005 => File C:\Programme\AVPersonal\Infected\142DC483.053 infected by "Trojan.Win32.Agent.bi"
Tue May 24 23:03:10 2005 => File C:\Programme\AVPersonal\Infected\D5873194.275 infected by "Trojan-Downloader.Win32.Agent.bq
Tue May 24 23:31:33 2005 => File C:\info6_s.cab infected by "Trojan.Win32.Dialer.t"
Tue May 24 23:31:33 2005 => File C:\7flash.exe infected by "Trojan-Downloader.Win32.Small.ass"
Tue May 24 23:31:48 2005 => File C:\safe\7flash.exe infected by "Trojan-Downloader.Win32.Small.ass"
Tue May 24 22:09:12 2005 => File C:\WINDOWS\LOCALNRD.DLL tagged as "not-a-virus:AdWare.BiSpy.n".
Tue May 24 22:13:13 2005 => File C:\WINDOWS\OPTIONS\CABS\EBD.CAB tagged as not-a-virus:Tool.ZeroedAndDeleted.Restart.
Tue May 24 22:21:58 2005 => File C:\WINDOWS\Downloaded Program Files\PrevAdX.dll tagged as "not-a-virus:AdWare.WinAD.aa".
Tue May 24 22:21:58 2005 => File C:\WINDOWS\Downloaded Program Files\v2.dll tagged as "not-a-virus:AdWare.ToolBar.EliteBar.p".
Tue May 24 22:21:58 2005 => File C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx tagged as "not-a-virus:AdWare.MediaTickets.f".
Tue May 24 22:21:58 2005 => File C:\WINDOWS\Downloaded Program Files\MirarSetup.exe tagged as "not-a-virus:AdWare.SaveNow.bj
Tue May 24 22:23:25 2005 => File C:\WINDOWS\LOCALNRD.DLL tagged as "not-a-virus:AdWare.BiSpy.n".
Tue May 24 22:35:06 2005 => File C:\Eigene Dateien\disc\AudioGrabber 1.80 Full\agsetup.exe tagged as not-a-virus:Tool.WinCap.Reboot.
Tue May 24 22:38:22 2005 => File C:\Eigene Dateien\enc\ra-codec12\setupl3c.exe tagged as not-a-virus:Tool.WinCap.Reboot.
Tue May 24 22:46:00 2005 => File C:\Programme\Propellerhead\Rebirth 2.0 Addons\setupad1.EXE tagged as not-a-virus:Tool.WinCap.Reboot.
Tue May 24 22:49:22 2005 => File C:\Programme\SearchRelevant\SearchRelevant.dll tagged as "not-a-virus:AdWare.Relevance.c".
Tue May 24 23:03:52 2005 => File C:\Programme\SearchRelevancy\SearchRelevancy.dll tagged as "not-a-virus:AdWare.Relevance.c".
Tue May 24 23:03:52 2005 => File C:\Programme\SearchRelevancy\SearchRelevancy1.dll tagged as "not-a-virus:AdWare.Relevance.a
Tue May 24 23:07:15 2005 => File C:\Program Files\Preview AdService\PrevAdKeep.exe tagged as "not-a-virus:AdWare.WinAD.ab".
Tue May 24 23:07:15 2005 => File C:\Program Files\Preview AdService\PrevAdServ.exe tagged as "not-a-virus:AdWare.WinAD.ab".
Tue May 24 23:15:19 2005 => File C:\WIN98 CD\EBD.CAB tagged as not-a-virus:Tool.ZeroedAndDeleted.Restart.
Tue May 24 23:32:14 2005 => File D:\WINDOWS\OPTIONS\CABS\EBD.CAB tagged as not-a-virus:Tool.ZeroedAndDeleted.Restart.
Tue May 24 23:33:54 2005 => File D:\WINDOWS\OPTIONS\CABS\OLS\AOL\AOL40DE.EXE tagged as not-a-virus:Tool.WinCap.Reboot.
Tue May 24 23:33:54 2005 => File D:\WINDOWS\OPTIONS\CABS\OLS\AOL\AOL40DE.EXE tagged as not-a-virus:Tool.WinCap.Reboot.
Tue May 24 23:57:34 2005 => File D:\temp\setup.exe tagged as not-a-virus:Tool.WinCap.Reboot.
Tue May 24 23:58:40 2005 => File D:\audio\Rebirth 2.0 Addons\setupad1.EXE tagged as not-a-virus:Tool.WinCap.Reboot.
Tue May 24 23:58:41 2005 => File D:\audio\Rebirth_RB338_v201_Setup.exe tagged as not-a-virus:Tool.WinCap.Reboot.
Tue May 24 23:58:56 2005 => File D:\audio\Rebirth_RB338 v2.01+ Addons - Radium.exe tagged as not-a-virus:Tool.WinCap.Reboot.
Tue May 24 22:08:25 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Tue May 24 22:08:25 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Tue May 24 22:08:26 2005 => Offending Folder C:\PROGRA~1\WEB_REBA present...
Tue May 24 22:08:26 2005 => Object "webrebates Spyware/Adware" found in File System! Action Taken: No Action Taken.
Tue May 24 22:08:26 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\sw !!!
Tue May 24 22:08:26 2005 => Object "sw Spyware/Adware" found in File System! Action Taken: No Action Taken.
Tue May 24 22:08:26 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\se !!!
Tue May 24 22:08:26 2005 => Object "CoolWebSearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Tue May 24 22:08:26 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\hsa !!!
Tue May 24 22:08:26 2005 => Object "hsa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Wenn ich die anweisungen richtig gelesen habe solll ich jetzt mithilfe des total commanders oder killbox die betreffenden dateien löschen?
Muß ich das im Abgesicherten modus machen ?
Grüße longhairjoe
Geschrieben von Vimes am 25.05.2005 um 09:57:
@longhairjoe:
Du hast Dir Schadsoftware eingefangen, die selbständig Code nachladen kann und eine Fernsteuerung (inkl. Ferinstallation von Software) Deines Rechners ermöglicht.
Ich rate Dir, den Rechner neu aufzusetzen (format c: und analog für alle Laufwerke) und ihn dann abzusichern. Wie, das findest Du beides hier im Board
MfG
Vimes
Geschrieben von longhairjoe am 25.05.2005 um 14:06:
@Vimes
vielen Dank für deine Hilfe, hab das schon befürchtet. Werde da wohl nicht drumherumkommenn zu formatieren. Trotzdem hätte ich gerne gewußt wie ich die Einträge lösche.
Grüße longhairjoe
Geschrieben von Grizzly am 25.05.2005 um 14:39:
@longhairjoe:
da du dir da eine nette Sammlung "angeschafft" hast,ist dein System kompromittiert und nur durch format C:\ zu bereinigen.
Mit Eintraegen loeschen waere es auch nicht getan,da manche Malware einen Selbstschutz hat und sich nicht so ohne weiteres loeschen laesst.
auch wenn du ggf alle Eintraege mit viel Glueck loeschen kannst,kannst du dir niemals sicher sein,dass dein System auch wirklich sauber ist.Komponenten der Malware koennen immer noch im Hintergrund arbeiten.....
zudem kann sich solch eine Reinigungsaktion ueber mehrere Tage hinwegziehen.Insofern ist ein Neuaufsetzen nicht nur sicherer,sondern auch schneller.....
Geschrieben von Vimes am 25.05.2005 um 15:57:
Dazu kommt noch, daß die Gefahr besteht, daß Dir jemand "maßgeschneiderte" Schadsoftware untergejubelt hat. Das gibts... die wird dann im Zweifel von keinem Scanner erkannt.
Plätten ist der einzige Weg, ein wirklich sauberes System zu bekommen, auf dem man auch wieder onlinebanken kann...
MfG
Vimes
Geschrieben von longhairjoe am 25.05.2005 um 16:59:
Vielen Dank Euch allen,
ich werde eure Ratschläge beachten und das BS neu aufsetzen!
Ich habe jetzt die Möglichkeit Windows 98 SE wieder aufzusetzen oder Windows 2000. Was würdet Ihr mir empfehlen?
Grüße longhairjoe
Geschrieben von dedie am 25.05.2005 um 17:07:
Ich würde Win 2000 alleine schon wegen der weitaus besseren Einstellungsmöglichkeiten der Benutzerrechte installieren.
Geschrieben von longhairjoe am 25.05.2005 um 17:10:
Hab ncoh vergessen dazuzuschreiben, die Windows 98 SE ist mein Original,
die Windows 2000 ist eine Kopie die mir jemand gegeben hat.
Grüße longhairjoe
Geschrieben von dedie am 25.05.2005 um 17:13:
Ohne gültige Lizens darfst du Win 2000 nicht installieren
Geschrieben von longhairjoe am 25.05.2005 um 17:21:
Ok dann werde ich wohl wieder 98 verwenden. Wie krieg ich dann mein System wieder sicher? Die meisten Sicherheitshinweise die ich finde beziehen sich auf XP. Bin für alle Hinweise Dankbar da ich eben noch Grünschnabel bin.
Grüße longhairjoe
Geschrieben von dedie am 25.05.2005 um 18:58:
Am einfachsten ist es wenn du dich mal mit dem durchlesen dieser
Tutorials beschäftigst.
Die Anleitungen bzw. Erklärungen sind weitesgehend Plattform unabhängig.
Für daraus resultierende Fragen einfach hier im Forum nachfragen, es wird dir gerne geholfen.
Geschrieben von steppl am 25.05.2005 um 19:02:
Über das Neuaufsetzen hinaus würde ich dringend empfehlen, alle Passwörter (e-mail, homebanking, ebay etc.) zu ändern, die jetzigen könnten durchaus schon Dritten bekannt sein.
Geschrieben von MobyDuck am 25.05.2005 um 21:25:
Zu den Betriebssystemen ist das wesentliche gesagt.
Der Befund deines Systems ist heutzutage nichts besonderes. Irgendwann und irgendwo hast du mal nicht aufgepasst und "klick" gemacht. Dass dann ein Downloader den nächsten Downloader runterläd und die Kiste vollgesifft wird, bis sie anfängt zu qualmen ist normal. Es will halt jeder mitverdienen.
Dedie's Tipp mit dem Tutorial ist natürlich richtig. Egal, welches BS du nimmst, ändere dein Surfverhalten. Es gibt im Netz so gut wie nichts umsonst. Auch keine Programme (bis auf die allseits gut bekannten Open-Source-Projekte). Auch keinen Sex.
Als Sofortmaßnahme würde ich dir empfehlen, einen alternativen Browser zu wählen (Firefox, Opera), nicht alles anklicken und lernen. Wenn du die Tutorials durchgeackert hast, kannste auch wieder den Internet Explorer wählen, wenn du meinst. Du weißt dann nämlich, worauf es ankommt.
Geschrieben von Vimes am 25.05.2005 um 23:23:
@longhairjoe:
Das nette an Win98 ist, daß es so gut wie keine Dienste nach außen anbietet. Druckerfreigabe und Dateifreigabe von DFÜ oder Netzwerk entbinden und Netbios ausmachen, das wars. Ist ziemlich einfach. Ich kann Dir dazu auch einen Link geben, bin aber gerade zu faul zum suchen.
Wichtig ist nur:
Unter Win98 bist Du immer Administrator. Also Vorsicht mit dem Klickefinger...
MfG
Vimes