Hijack This - Was soll ich löschen?

Dieses Thema im Forum "Sicherheit" wurde erstellt von Speedy Gonzalez, 4. März 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Speedy Gonzalez

    Speedy Gonzalez Byte

    Registriert seit:
    4. März 2006
    Beiträge:
    15
    Hallo,

    ich bin noch ganz neu hier, hoffe ihr könnt mir helfen.

    Ich kann schon seit einiger Zeit nicht mehr googeln, stattdessen werde ich auf irgendwelche russischen Sites oder Werbepages umgeleitet. Antivir findet das nicht und mit anderen Spyware Programmen bekomme ich das Problem auch nicht gelöst. Neben google funktioniert auch yahoo.com übrigens nicht.

    Hier ist mein Log von Hijack This:
    http://www.hijackthis.de/logfiles/2a73303558704d701fa8ca76a30addbb.html

    Vielen Dank für eure Hilfe,

    Speedy
     
  2. ossilotta

    ossilotta Ehren-Moderator

    Registriert seit:
    1. Juli 2001
    Beiträge:
    8.646
    ich glaube Du solltest Dein ganzes System neu aufsetzen, habe ja schon viel hier gesehen, aber so etwas noch nicht.
     
  3. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    ist eine grenzwertige Geschichte, das sicherste wäre mit Sicherheit ein Neuaufsetzen. Das meiste ist Adware noch ein/zwei Trojaner aber soweit ich es gesehen habe ist kein Backdoor dabei.

    Sag mal ob du reinigen willst oder doch die sauberere Lösung Neuaufsetzen bevorzugst.



    Grüße Jasager
     
  4. Speedy Gonzalez

    Speedy Gonzalez Byte

    Registriert seit:
    4. März 2006
    Beiträge:
    15
    hm wirklich alles neu machen? ich hatte letztens nen virus drauf, hab ich mit antivir aber alles wegbekommen. zumindest läuft mein pc jetzt wieder einwandfrei. alles neu zu machen ist immer so viel arbeit...
    ich versteh aber auch nicht allzu viel von pcs, also wenn mein system wirklich verhunzt sein sollte, dann werd ich das wohl oder übel mal neu machen müssen (=XP neu raufspielen, oder?).
    ist es wirklich so schlimm?
     
  5. Speedy Gonzalez

    Speedy Gonzalez Byte

    Registriert seit:
    4. März 2006
    Beiträge:
    15
    hallo jasager,

    reinigen wäre mir eigentlich lieber als neuaufsetzen, weil es weniger arbeit macht.

    danke schonmal,
    liebe Grüße, Speedy
     
  6. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    Da wäre ich mir nicht so sicher.
    Aber gut, ist deine Entscheidung, aber falls ich doch noch Trojaner finde die einen Zugriff dritter auf dein system bewerkstelligen wirst du nicht an einem Neuaufsetzen vorbei kommen.

    Also dann erstmal die genauere Analyse:

    1.) Poste die vier Logs der datfind.bat aber nur die Dateien der letzten drei Monate abkopieren!

    2.) Scanne dein system mit F-Secure Blacklight und poste das Log (wird automatisch nach dem scan im selben Pfad erstellt fsbl***.txt)


    Grüße Jasager
     
  7. Speedy Gonzalez

    Speedy Gonzalez Byte

    Registriert seit:
    4. März 2006
    Beiträge:
    15
    1. Log:
    Datentr„ger in Laufwerk C: ist XP-TOOLS
    Volumeseriennummer: A829-5800

    Verzeichnis von C:\WINDOWS\system32

    03.03.2006 23:19 30.168 BMXCtrlState-{00000002-00000000-0000000A-00001102-00000004-10021102}.rfx
    03.03.2006 23:19 30.168 BMXBkpCtrlState-{00000002-00000000-0000000A-00001102-00000004-10021102}.rfx
    03.03.2006 23:19 30.180 BMXStateBkp-{00000002-00000000-0000000A-00001102-00000004-10021102}.rfx
    03.03.2006 23:19 30.180 BMXState-{00000002-00000000-0000000A-00001102-00000004-10021102}.rfx
    03.03.2006 23:19 1.080 settings.sfm
    03.03.2006 23:19 288 DVCStateBkp-{00000002-00000000-0000000A-00001102-00000004-10021102}.dat
    03.03.2006 23:19 1.080 settingsbkup.sfm
    03.03.2006 23:19 288 DVCState-{00000002-00000000-0000000A-00001102-00000004-10021102}.dat
    03.03.2006 22:05 12.598 wpa.dbl
    19.02.2006 21:10 0 guard.tmp
    19.02.2006 20:02 234.361 toflog.dll
    19.02.2006 20:00 0 n82ulif9182.dll
    17.02.2006 15:27 687.592 atmtd.dll
    17.02.2006 15:27 687.592 atmtd.dll._
    15.02.2006 16:08 126.976 UAService.exe
    14.02.2006 13:42 176.167 rmoc3260.dll
    14.02.2006 13:41 5.632 pndx5032.dll
    14.02.2006 13:41 6.656 pndx5016.dll
    14.02.2006 13:41 278.528 pncrt.dll
    09.02.2006 15:09 2 cmd.com
    09.02.2006 15:09 2 regedit.com
    09.02.2006 15:09 2 taskkill.com
    09.02.2006 15:09 2 tasklist.com
    09.02.2006 15:09 2 tracert.com
    09.02.2006 15:09 2 ping.com
    09.02.2006 15:09 2 netstat.com
    04.02.2006 14:15 242.328 FNTCACHE.DAT
    28.01.2006 18:24 0 shutdown.log
    18.01.2006 13:05 57.344 avsda.dll
    17.01.2006 22:36 69.632 ElbyCDIO.dll
    20.12.2005 00:53 716.800 divxdec.ax
    20.12.2005 00:53 4.276 divxsm.tlb
    20.12.2005 00:53 778.240 DivXsm.exe
    20.12.2005 00:53 573.952 DivX.dll
    20.12.2005 00:53 679.936 divx_xx07.dll
    20.12.2005 00:53 10.716 dsm_ja.qm
    20.12.2005 00:53 15.331 dsm_de.qm
    20.12.2005 00:53 15.172 dsm_fr.qm
    20.12.2005 00:53 679.936 divx_xx0c.dll
    20.12.2005 00:53 663.552 divx_xx11.dll
    20.12.2005 00:52 1.044.480 libdivx.dll
    20.12.2005 00:52 200.704 ssldivx.dll
    20.12.2005 00:52 245.408 unicows.dll
    20.12.2005 00:52 3.596.288 qt-dx331.dll
    20.12.2005 00:52 8.523 dpude.qm
    20.12.2005 00:52 86.016 dpl100.dll
    20.12.2005 00:52 593.920 dpuGUI11.dll
    20.12.2005 00:52 53.248 dpuGUI10.dll
    20.12.2005 00:52 200.704 dtu100.dll
    20.12.2005 00:52 339.968 dpus11.dll
    20.12.2005 00:52 57.344 dpv11.dll
    20.12.2005 00:52 294.912 dpu10.dll
    20.12.2005 00:52 294.912 dpu11.dll
    20.12.2005 00:52 3.136 dtu_de.qm
    20.12.2005 00:52 356.436 DivXMedia.ax
    14.12.2005 09:24 118.784 sirenacm.dll
    08.12.2005 13:56 65.536 QuickTimeVR.qtx
    08.12.2005 13:56 49.152 QuickTime.qts
    06.12.2005 15:51 62.464 bszip.dll
    05.12.2005 06:12 61.440 pxhpinst.exe
    05.12.2005 06:12 339.968 px.dll
    05.12.2005 06:12 405.504 pxdrv.dll
    05.12.2005 06:12 56.832 pxcpya64.exe
    05.12.2005 06:12 56.320 pxinsa64.exe
    05.12.2005 06:12 172.032 pxmas.dll
    05.12.2005 06:12 339.968 pxwave.dll
    05.12.2005 06:12 28.672 vxblock.dll


    2. Log:
    Datentr„ger in Laufwerk C: ist XP-TOOLS
    Volumeseriennummer: A829-5800

    Verzeichnis von C:\DOKUME~1\MAUSI~1.MAR\LOKALE~1\Temp

    04.03.2006 17:56 512 ~DFCF9F.tmp
    04.03.2006 17:55 42.169 stock.log
    04.03.2006 17:04 3.406 Zusammenfassende Darstellung der L__sungsverfahren.pdf
    04.03.2006 14:44 273.408 Werkstatt Terme _ Gleichungen.doc
    04.03.2006 13:54 1.144.859 2006_02_054-060.pdf
    04.03.2006 13:25 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}20164.html
    04.03.2006 13:24 16.384 ~DF964.tmp
    04.03.2006 13:24 16.384 ~DFFE57.tmp
    04.03.2006 13:24 512 ~DFFE65.tmp
    04.03.2006 13:24 0 dsidebar.crash
    04.03.2006 13:24 16.384 Perflib_Perfdata_17c.dat
    04.03.2006 13:23 1.277 sidebar.threads
    04.03.2006 13:23 34.228 dsidebar.log
    03.03.2006 23:04 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}20287.html
    03.03.2006 22:07 16.384 ~DFA97E.tmp
    03.03.2006 22:07 16.384 ~DF9F87.tmp
    02.03.2006 22:41 27.648 Merkblatt _Gr__ssen_.doc
    02.03.2006 22:35 6.018 Umwandeln von Einheiten _ Vors__tze.pdf
    02.03.2006 14:24 5.468 tmp-2.xpi
    02.03.2006 14:24 82.419 tmp-1.xpi
    02.03.2006 14:08 16.384 ~DF3DD9.tmp
    02.03.2006 14:08 16.384 ~DF347F.tmp
    01.03.2006 21:22 4.527 java_install_reg.log
    01.03.2006 12:38 16.384 ~DF7529.tmp
    01.03.2006 12:38 16.384 ~DF6C28.tmp
    28.02.2006 14:26 16.384 ~DF9743.tmp
    28.02.2006 14:26 16.384 ~DF8B54.tmp
    27.02.2006 20:55 16.384 ~DF109C.tmp
    27.02.2006 20:55 16.384 ~DFE800.tmp
    26.02.2006 16:38 16.384 ~DF4BF9.tmp
    26.02.2006 16:38 16.384 ~DF42DE.tmp
    26.02.2006 16:16 1.019.154.528 IMAGE.img
    26.02.2006 16:16 41.598.144 IMAGE.sub
    26.02.2006 16:15 772 IMAGE.CCD
    26.02.2006 14:01 16.384 ~DF893F.tmp
    26.02.2006 14:01 16.384 ~DF8066.tmp
    26.02.2006 00:01 16.384 ~DFF4FC.tmp
    26.02.2006 00:01 16.384 ~DFB6FB.tmp
    24.02.2006 19:29 283 wahtmltmp00.htm
    24.02.2006 18:45 919.931 tmp.xpi
    24.02.2006 18:44 16.384 ~DFEBEA.tmp
    24.02.2006 18:44 16.384 ~DFDD1E.tmp
    23.02.2006 20:54 16.384 ~DFCAAA.tmp
    23.02.2006 20:54 16.384 ~DF82FC.tmp
    23.02.2006 16:15 16.384 ~DF95F3.tmp
    23.02.2006 16:15 65.536 ~DF960F.tmp
    23.02.2006 15:14 16.384 ~DF9603.tmp
    23.02.2006 15:14 16.384 ~DF95CB.tmp
    23.02.2006 15:14 16.384 ~DF95E7.tmp
    23.02.2006 15:14 512 ~DF95BB.tmp
    23.02.2006 15:14 512 ~DF95D7.tmp
    23.02.2006 15:14 16.384 ~DF95AF.tmp
    23.02.2006 14:32 16.384 ~DF30E8.tmp
    23.02.2006 14:32 512 ~DFBA9.tmp
    23.02.2006 14:32 16.384 ~DFB9D.tmp
    23.02.2006 00:01 52.052 2ade_appcompat.txt
    22.02.2006 17:39 16.384 ~DF438E.tmp
    21.02.2006 21:32 32.768 ~DF79A2.tmp
    21.02.2006 17:13 16.384 ~DF6981.tmp
    21.02.2006 13:59 16.384 ~DF1B93.tmp
    21.02.2006 13:59 16.384 ~DF3198.tmp
    20.02.2006 22:52 16.384 ~DF4014.tmp
    20.02.2006 22:52 16.384 ~DF20DD.tmp
    20.02.2006 21:13 329.728 ~DF9B4D.tmp
    20.02.2006 21:12 347.136 ~DF70D0.tmp
    20.02.2006 21:12 347.136 ~DF5D27.tmp
    20.02.2006 21:05 0 dsb1C.tmp
    20.02.2006 21:01 718 04954b05.avp
    20.02.2006 21:01 718 051875d6.avp
    20.02.2006 21:01 718 010e6ca8.avp
    19.02.2006 20:34 1 dsb24.tmp
    19.02.2006 20:28 718 3abc02ed.avp
    19.02.2006 16:34 16.384 ~DF39E0.tmp
    19.02.2006 16:32 669 delus.ini
    19.02.2006 13:13 65 id.id
    19.02.2006 13:12 16.384 ~DF5E94.tmp
    18.02.2006 20:21 16.384 ~DFA4D6.tmp
    18.02.2006 20:21 16.384 ~DF88DC.tmp
    18.02.2006 18:27 16.384 ~DF9AC4.tmp
    20.09.2005 18:08 42.144 mso6158A.doc

    3. Log:
    Datentr„ger in Laufwerk C: ist XP-TOOLS
    Volumeseriennummer: A829-5800

    Verzeichnis von C:\WINDOWS

    04.03.2006 13:23 0 0.log
    04.03.2006 13:23 157 wiadebug.log
    04.03.2006 13:23 50 wiaservc.log
    04.03.2006 13:23 2.048 bootstat.dat
    03.03.2006 23:19 32.642 SchedLgU.Txt
    03.03.2006 23:19 791.188 WindowsUpdate.log
    03.03.2006 23:19 4.481.358 {00000002-00000000-0000000A-00001102-00000004-10021102}.CDF
    26.02.2006 16:04 240 Clony2.ini
    26.02.2006 15:40 107 ClonyDrives.ini
    24.02.2006 19:07 54.156 QTFont.qfn
    24.02.2006 18:45 9.599 mozver.dat
    23.02.2006 15:53 1.349.017 setupapi.log
    21.02.2006 16:33 107.132 UninstallThunderbird.exe
    21.02.2006 16:33 610 win.ini
    21.02.2006 15:35 107.134 UninstallFirefox.exe
    21.02.2006 14:20 335 mozregistry.dat
    21.02.2006 13:59 0 winsysupd91.dat
    21.02.2006 13:59 0 gimmygames101.dat
    20.02.2006 20:51 47.648 winsysban10.exe
    20.02.2006 20:51 12.036 winsysupd10.exe
    19.02.2006 21:35 141.286 setupact.log
    18.02.2006 21:19 116 NeroDigital.ini
    18.02.2006 18:29 0 setuperr.log
    17.02.2006 15:28 40 teller2.chk
    17.02.2006 15:28 43 drsmartload2.dat
    17.02.2006 15:28 0 gimmygames91.dat
    15.02.2006 16:14 121 GEARInstall.log
    14.02.2006 13:23 1.409 QTFont.for
    05.02.2006 19:32 56.461 wmsetup.log
    24.01.2006 14:49 0 videodeLuxe.INI
    24.01.2006 14:40 235 magix.ini
    24.01.2006 00:22 268 homeDVD-Fotos4_dlx.INI
    19.01.2006 15:43 24 AM_D8.PRF
    03.01.2006 17:45 1.989 uninstall_nmon.vbs
    12.12.2005 14:55 52 Relax.ini
    17.11.2005 14:18 0 PROTOCOL.INI

    4. Log:
    Datentr„ger in Laufwerk C: ist XP-TOOLS
    Volumeseriennummer: A829-5800

    Verzeichnis von C:\

    04.03.2006 18:03 0 sys.txt
    04.03.2006 18:01 10.162 system.txt
    04.03.2006 17:58 4.602 systemtemp.txt
    04.03.2006 17:55 104.229 system32.txt
    04.03.2006 13:23 805.306.368 pagefile.sys
    26.02.2006 15:39 14.373.042 reclock_log.txt
    17.02.2006 15:28 517.168 ucmoreiex.exe
    17.02.2006 15:27 578.560 Installer.exe
    17.01.2006 16:59 1.120 INSTALL.LOG
    22.05.2005 13:34 304 boot.ini
    22.05.2005 13:29 47.564 NTDETECT.COM
    22.05.2005 13:29 251.184 ntldr
    16.05.2005 19:00 0 AUTOEXEC.BAT
    07.02.2005 09:36 55.821 hpfr5550.log
    25.12.2004 19:18 704 log.txt
    28.02.2004 18:37 0 IO.SYS
    28.02.2004 18:37 0 CONFIG.SYS
    28.02.2004 18:37 0 MSDOS.SYS
    18.08.2001 13:00 4.952 bootfont.bin
    24.05.2001 12:59 162.304 UNWISE.EXE
    20 Datei(en) 821.418.084 Bytes
    0 Verzeichnis(se), 3.117.785.088 Bytes frei

    So, ich hoffe ich hab das jetzt soweit richtig gemacht... Die andere Geschichte mach ich gleich.

    Danke, Speedy
     
  8. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    Wie meinen?
    Sorry, aber Trojaner sind nicht weniger riskant als Backdoors!

    BTW
    http://securityresponse.symantec.com/avcenter/venc/data/adware.bargainbuddy.htmlRisiko Medium!
    http://securityresponse.symantec.com/avcenter/venc/data/w32.mimail.m@mm.html
    Ein eMail Wurm!

    Von der ganzen Adware auf der Büchse und der Manipulation der hosts mal ganz zu schweigen!

    Dieser Rechner ist einen Seuche und sollte SOFORT vom Netz genommen und neu aufgesetzt werden!

    In dem Zuge dann mal gleich sämtliche Passworte ändern, denn Trojaner spionieren ganz gern mal...

    Ich bin kein Freund von übereilter Formatiererei, aber das war ein Ergebnis NACH entferntem Virus! Wer weiß, was an der Kiste noch alles so seinen Party macht...
     
  9. Speedy Gonzalez

    Speedy Gonzalez Byte

    Registriert seit:
    4. März 2006
    Beiträge:
    15
    Dieses F-Secure-Blacklight scheint man im Moment nicht downloaden zu können. So wie ich das verstanden habe, funktionierte die kostenlose Testversion nur bis zum 1. März und die Beta-Version gibt es erst ab dem 10. März. Ich schätze das bedeutet warten...

    liebe Grüße, Speedy
     
  10. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    ich sage ja das es grenzwertig ist, und der Unterschied bei Trojanern ist das immer das gleiche auf das System geladen wird, während bei Backdoors eine komplette Fremdsteuerung möglich ist.
    Die beiden von dir genannten E-Mail Würmer kann ich ehrlich gesagt nicht auf dem System entdecken, dafür haufenweise anderes, aber damit hatte ich ja schon gerechnet.
    Ein endgültiges Urteil über den netmon Eintrag habe ich mir noch nicht gemacht, aber es ist durchaus tzu beachten das er nicht im system Ordner ist, sondern im Ordner C:\Programme\Network Monitor
    Werde später noch genauer darauf eingehen, aber ich sehe noch keinen zwingenden Grund für ein Neuaufsetzen, es sei denn f-Secure fördert noch ein Rootkit zu Tage.


    Grüße Jasager
     
  11. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    Dann schau das erste HJT-Log noch einmal an.
     
  12. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    @Speedy Gonzalez
    dann scanne mit Rootkit Revealer und poste das Log (File>>Save)
    Achte darauf während dem Scan nichts anderes zu machen und auch den Browser zu schließen.


    Grüße Jasager
     
  13. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    @AD
    Habe ich schon gemacht, aber ich traue der automatischen Auswertung nicht über den Weg, die geht nämlich nur nach Dateinamen, und das führt häufig zu falschen Meldungen, auch wenn wahrscheinluich ein Trojaner vorliegt ist noch lange nicht gesagt welcher es ist.


    Grüße Jasager
     
  14. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    besorge dir mal das Programm killbox und lösche damit folgende Dateien on reboot:

    C:\Windows\System32\guard.tmp
    C:\Windows\System32\toflog.dll
    C:\Windows\System32\atmtd.dll
    C:\Windows\System32\atmtd.dll._
    C:\Windows\System32\cmd.com
    C:\Windows\System32\regedit.com
    C:\Windows\System32\taskkill.com
    C:\Windows\System32\tasklist.com
    C:\Windows\System32\tracert.com
    C:\Windows\System32\ping.com
    C:\Windows\System32\netstat.com
    C:\WINDOWS\winsysupd91.dat
    C:\WINDOWS\gimmygames101.dat
    C:\WINDOWS\winsysban10.exe
    C:\WINDOWS\winsysupd10.exe
    C:\WINDOWS\teller2.chk
    C:\WINDOWS\drsmartload2.dat
    C:\WINDOWS\gimmygames91.dat


    Dann beendest du mal folgende Prozesse im Taskmanager:
    C:\WINDOWS\TWFyZW4\command.exe
    C:\Programme\Network Monitor\netmon.exe
    überprüfst die zugehörigen Dateien und folgende Dateien:
    C:\installer.exe
    C:\ucmoreiex.exe

    hier und postest das jeweilige Ergebnis.


    Grüße Jasager
     
  15. Speedy Gonzalez

    Speedy Gonzalez Byte

    Registriert seit:
    4. März 2006
    Beiträge:
    15
    Hier jetzt erstmal das Ergebnis vom Scan mit Rootkit Revealer:

    C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\4439d409.qua 04.03.2006 18:52 17.42 KB Hidden from Windows API.
    C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\4477d5f5.qua 04.03.2006 18:59 46.82 KB Visible in directory index, but not Windows API or MFT.
    C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\447bd368.qua 04.03.2006 18:48 17.37 KB Hidden from Windows API.
    C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\447cd33f.qua 04.03.2006 18:48 28.75 KB Hidden from Windows API.
    C:\Dokumente und Einstellungen\Hotte\.jpi_cache\jar\1.0\clsld.jar-455f8b8a-4d055f22.zip 11.05.2004 22:46 28.35 KB Visible in Windows API, but not in MFT or directory index.
    C:\Dokumente und Einstellungen\Hotte\Lokale Einstellungen\Temp\asr.exe 22.03.2005 22:45 17.00 KB Visible in Windows API, but not in MFT or directory index.
    C:\Dokumente und Einstellungen\Mausi.MAREN\Anwendungsdaten\ICQLite\Bartcache\173549440\Temp\ICQTempFile04768.tmp 04.03.2006 18:55 3.10 KB Hidden from Windows API.
    C:\Dokumente und Einstellungen\Mausi.MAREN\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2TOZEZ85\2509-1_22-0-20[1].xml 04.03.2006 18:55 12.09 KB Hidden from Windows API.
    C:\Dokumente und Einstellungen\Mausi.MAREN\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6N09CL2X\2509-1_22-0-20[1].xml 04.03.2006 18:25 12.09 KB Visible in Windows API, but not in MFT or directory index.
    C:\Dokumente und Einstellungen\Mausi.MAREN\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6N09CL2X\cq[1].htm 04.03.2006 18:56 40.59 KB Hidden from Windows API.
    C:\Dokumente und Einstellungen\Mausi.MAREN\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OFYBCJ0X\cq[1].htm 04.03.2006 18:40 40.59 KB Visible in Windows API, but not in MFT or directory index.
    C:\System Volume Information\_restore{5D74A539-BE41-4A31-B1C7-3D40969D0F08}\RP271\A0032101.exe 22.03.2005 22:45 17.00 KB Visible in Windows API, but not in MFT or directory index.
    C:\System Volume Information\_restore{5D74A539-BE41-4A31-B1C7-3D40969D0F08}\RP271\A0032102.exe 20.02.2006 20:51 46.53 KB Visible in directory index, but not Windows API or MFT.
    C:\WINDOWS\winsysban10.exe 20.02.2006 20:51 46.53 KB Visible in Windows API, MFT, but not in directory index.
     
  16. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    das Rootkit Revealer Log bringt keine neuen Erkenntnisse, arbeite das oben ab und poste die Ergebnisse der Überprüfung.


    Grüße Jasager
     
  17. Speedy Gonzalez

    Speedy Gonzalez Byte

    Registriert seit:
    4. März 2006
    Beiträge:
    15
    Also das erste habe ich gemacht, aber was es mit diesem VirusTotal Programm auf sich hat verstehe ich noch nicht ganz.:confused: Soll ich die Prozesse im Taskmanager beenden und danach diese Dateien mit VirusTotal durchchecken? Oder nur dort checken und nicht vorher im TaskManager beenden?

    Ich muss jetzt leider los, kann das also heute nicht mehr machen. Werde das aber morgen machen.... Sofern ich verstehe, was ich machen soll. :)

    Liebe Grüße, Speedy
     
  18. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    erst beenden, dann überprüfen, dann Ergebnis posten.
    Alternativ zu virustotal.com kannst du es auch hier machen.



    Grüße Jasager
     
  19. Speedy Gonzalez

    Speedy Gonzalez Byte

    Registriert seit:
    4. März 2006
    Beiträge:
    15
    Hey,

    also das mit der Killbox hab ich gemacht und das hat auch funktioniert. Die genannten Prozesse habe ich zwar im Taskmanager gefunden, als ich sie beenden wollte kam aber eine Fehlermeldung, dass diese Prozesse nicht beendet werden könnten.

    Hier das Ergebnis von VirusTotal:

    This is a report processed by VirusTotal on 03/05/2006 at 12:18:29 (CET) after scanning the file "command.exe" file.

    Antivirus Version Update Result
    AntiVir 6.33.1.53 03.04.2006 ADSPY/CommAd.A.1
    Avast 4.6.695.0 03.03.2006 Win32:Trojan-gen. {UPX!}
    AVG 718 03.03.2006 Adware Generic.GVT
    Avira 6.33.1.53 03.04.2006 ADSPY/CommAd.A.1
    BitDefender 7.2 03.05.2006 Adware.CommAd.A
    CAT-QuickHeal 8.00 03.04.2006 AdWare.CommAd.a (Not a Virus)
    ClamAV devel-20060126 03.05.2006 no virus found
    DrWeb 4.33 03.04.2006 Trojan.Proxy.493
    eTrust-InoculateIT 23.71.93 03.04.2006 no virus found
    eTrust-Vet 12.4.2104 03.03.2006 no virus found
    Ewido 3.5 03.04.2006 Adware.CommAd
    Fortinet 2.71.0.0 03.05.2006 W32/Agent.WF-tr
    F-Prot 3.16c 03.03.2006 security risk named W32/Agent.WF
    Ikarus 0.2.59.0 03.03.2006 AdWare.CommAd.A
    Kaspersky 4.0.2.24 03.05.2006 no virus found
    McAfee 4710 03.03.2006 potentially unwanted program Adware-Isearch
    NOD32v2 1.1430 03.04.2006 Win32/Adware.CommAd
    Norman 5.70.10 03.03.2006 W32/CommAd.A
    Panda 9.0.0.4 03.05.2006 Adware/CommAd
    Sophos 4.03.0 03.04.2006 no virus found
    Symantec 8.0 03.05.2006 no virus found
    TheHacker 5.9.5.106 03.04.2006 Adware/CommAd.a
    UNA 1.83 03.02.2006 Adware.CommAd
    VBA32 3.10.5 03.03.2006 AdWare.Win32.CommAd.a


    This is a report processed by VirusTotal on 03/05/2006 at 12:21:16 (CET) after scanning the file "netmon.exe" file.

    Antivirus Version Update Result
    AntiVir 6.33.1.53 03.04.2006 SPR/NetMon.A
    Avast 4.6.695.0 03.03.2006 no virus found
    AVG 718 03.03.2006 Adware Generic.KGZ
    Avira 6.33.1.53 03.04.2006 SPR/NetMon.A
    BitDefender 7.2 03.05.2006 Adware.CommAd.A
    CAT-QuickHeal 8.00 03.04.2006 Monitor.NetMon.a (Not a Virus)
    ClamAV devel-20060126 03.05.2006 no virus found
    DrWeb 4.33 03.04.2006 Trojan.DnsChange
    eTrust-InoculateIT 23.71.93 03.04.2006 no virus found
    eTrust-Vet 12.4.2104 03.03.2006 no virus found
    Ewido 3.5 03.04.2006 Not-A-Virus.Monitor.Win32.NetMon.a
    Fortinet 2.71.0.0 03.05.2006 Adware/SearchAid
    F-Prot 3.16c 03.03.2006 no virus found
    Ikarus 0.2.59.0 03.03.2006 no virus found
    Kaspersky 4.0.2.24 03.05.2006 no virus found
    McAfee 4710 03.03.2006 potentially unwanted program Tool-NetMon
    NOD32v2 1.1430 03.04.2006 Win32/Monitor.Netmon.A
    Norman 5.70.10 03.03.2006 no virus found
    Panda 9.0.0.4 03.05.2006 Adware/SearchAid
    Sophos 4.03.0 03.04.2006 no virus found
    Symantec 8.0 03.05.2006 no virus found
    TheHacker 5.9.5.106 03.04.2006 Aplicacion/NetMon.a
    UNA 1.83 03.02.2006 no virus found
    VBA32 3.10.5 03.03.2006 no virus found


    This is a report processed by VirusTotal on 03/05/2006 at 12:25:48 (CET) after scanning the file "installer.exe" file.

    Antivirus Version Update Result
    AntiVir 6.33.1.53 03.04.2006 ADSPY/Look2Me.AB.67
    Avast 4.6.695.0 03.03.2006 Win32:Adware-gen.
    AVG 718 03.03.2006 Adware Generic.GMS
    Avira 6.33.1.53 03.04.2006 ADSPY/Look2Me.AB.67
    BitDefender 7.2 03.05.2006 Trojan.Canbede.L
    CAT-QuickHeal 8.00 03.04.2006 AdWare.Look2Me.ab (Not a Virus)
    ClamAV devel-20060126 03.05.2006 no virus found
    DrWeb 4.33 03.04.2006 no virus found
    eTrust-InoculateIT 23.71.93 03.04.2006 Win32/Canbede.L!Trojan
    eTrust-Vet 12.4.2104 03.03.2006 Win32/Canbede.M
    Ewido 3.5 03.04.2006 Adware.Look2Me
    Fortinet 2.71.0.0 03.05.2006 Adware/Look2me
    F-Prot 3.16c 03.03.2006 no virus found
    Ikarus 0.2.59.0 03.03.2006 AdWare.Look2Me.U
    Kaspersky 4.0.2.24 03.05.2006 no virus found
    McAfee 4710 03.03.2006 potentially unwanted program Adware-Look2Me
    NOD32v2 1.1430 03.04.2006 Win32/Adware.Look2Me
    Norman 5.70.10 03.03.2006 W32/Look2Me.CA
    Panda 9.0.0.4 03.05.2006 Adware/Look2Me
    Sophos 4.03.0 03.04.2006 no virus found
    Symantec 8.0 03.05.2006 no virus found
    TheHacker 5.9.5.106 03.04.2006 Adware/Look2Me.ab
    UNA 1.83 03.02.2006 Adware.Look2Me
    VBA32 3.10.5 03.03.2006 AdWare.Look2Me.ab


    This is a report processed by VirusTotal on 03/05/2006 at 12:25:57 (CET) after scanning the file "ucmoreiex.exe" file.

    Antivirus Version Update Result
    AntiVir 6.33.1.53 03.04.2006 ADSPY/Ucmore
    Avast 4.6.695.0 03.03.2006 no virus found
    AVG 718 03.03.2006 Adware Generic.ELB
    Avira 6.33.1.53 03.04.2006 ADSPY/Ucmore
    BitDefender 7.2 03.05.2006 Application.Weirdontheweb.A
    CAT-QuickHeal 8.00 03.04.2006 AdWare.Ucmore.e (Not a Virus)
    ClamAV devel-20060126 03.05.2006 no virus found
    DrWeb 4.33 03.04.2006 no virus found
    eTrust-InoculateIT 23.71.93 03.04.2006 no virus found
    eTrust-Vet 12.4.2104 03.03.2006 no virus found
    Ewido 3.5 03.04.2006 Adware.Ucmore
    Fortinet 2.71.0.0 03.05.2006 Adware/Ucmore
    F-Prot 3.16c 03.03.2006 no virus found
    Ikarus 0.2.59.0 03.03.2006 no virus found
    Kaspersky 4.0.2.24 03.05.2006 no virus found
    McAfee 4710 03.03.2006 potentially unwanted program Adware-UCMore
    NOD32v2 1.1430 03.04.2006 Win32/Adware.UCmore
    Norman 5.70.10 03.03.2006 Ucmore.G
    Panda 9.0.0.4 03.05.2006 Adware/Ucmore
    Sophos 4.03.0 03.04.2006 no virus found
    Symantec 8.0 03.05.2006 no virus found
    TheHacker 5.9.5.106 03.04.2006 Trojan/MultiDropper
    UNA 1.83 03.02.2006 no virus found
    VBA32 3.10.5 03.03.2006 AdWare.Win32.Ucmore.a


    Lieben Gruß, Speedy
     
  20. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    erstmal die frage, hast du das Programm C:\Programme\Network Monitor selbst installiert?

    Deinstalliere mal über Systemsteuerung>>Software folgende Programme, falls vorhanden:
    VCClient
    Toolbar888
    TheSearchAccelerator

    Lösche mal noch folgende Dateien/Ordner mit killbox (bei Ordnern mit deltree) on reboot:

    C:\WINDOWS\TWFyZW4\
    C:\Programme\TheSearchAccelerator\
    C:\Programme\Toolbar888\
    C:\Programme\Common Files\VCClient (wenn ausser VCClient nichts in Commen Files drin ist kannst du den auch kompett löschen
    C:\installer.exe
    C:\ucmoreiex.exe

    Dann fixt (Haken davor und auf "fix chjecked" du noch folgende Einträge mit HijackThis:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://searchbar.findthewebsiteyouneed.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://searchbar.findthewebsiteyouneed.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://searchbar.findthewebsiteyouneed.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.findthewebsiteyouneed.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://searchbar.findthewebsiteyouneed.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://searchbar.findthewebsiteyouneed.com
    alle O1 Einträge
    O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programme\TheSearchAccelerator\UCMTSAIE.dll
    O3 - Toolbar: Toolbar888 - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Programme\Toolbar888\ToolBar888.dll
    O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban9.exe
    O4 - HKLM\..\RunServices: [winlog] winlog.exe
    O4 - HKCU\..\Run: [wmir] C:\PROGRA~1\GEMEIN~1\wmir\wmirm.exe
    O4 - HKCU\..\Run: [CU1] C:\Programme\Common Files\VCClient\VCClient.exe
    O4 - HKCU\..\Run: [CU2] C:\Programme\Common Files\VCClient\VCMain.exe
    O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - hxxp://locator1.cdn.imagesrvr.com/sites/winfixer.com/www/pages/scanner_de/WinFix er2005ScannerInstallDE.cab

    Dann besorgst du dir folgendes Tool und läßt es wie beschrieben laufen. Falls es damit nicht funktioniert wäre das hier (Look2me Destroyer) eine Alternative.

    Dann überprüfst du noch, falls vorhanden, die Datei:
    C:\PROGRA~1\GEMEIN~1\wmir\wmirm.exe
    bei virustotal und postest das Ergebnis.

    Außerdem machst du noch einen Scan mit Ewido und postest danach den Report(bereinigt von Meldungen über cookies).

    Und zuletzt noch einen Link zu deinem neuen HijackThis Log.


    Grüße Jasager
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen