Viren-Check

Dieses Thema im Forum "Sicherheit" wurde erstellt von diniska, 26. Mai 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. diniska

    diniska Byte

    Registriert seit:
    10. Mai 2004
    Beiträge:
    8
    Hallo!

    Hab ne Vermutung, dass sich ein Virus bei mir eingeschlichen hat. Ich bitte euch das folgende Logfile zu überprüfen
    und mir falls es Probleme gibt Bescheid zu geben.

    Danke im Voraus diniska!!!


    Logfile of HijackThis v1.97.7
    Scan saved at 20:16:43, on 26.05.2004
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\System32\svchost.exe
    C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
    C:\Programme\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\system32\regsvc.exe
    C:\WINDOWS\system32\MSTask.exe
    C:\WINDOWS\System32\WBEM\WinMgmt.exe
    C:\WINDOWS\system32\svchost.exe
    C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Microsoft Hardware\Mouse\point32.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\WINDOWS\system32\sstray.exe
    C:\Programme\SaveNow\SaveNow.exe
    C:\Programme\Gemeinsame Dateien\Totem Shared\Uninstall0001\upd.exe
    C:\Programme\ClearSearch\Loader.exe
    C:\DOKUME~1\WINDOW~1\LOKALE~1\Temp\bundle.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Programme\Common files\updmgr\updmgr.exe
    C:\Programme\ThrustMaster\ThrustMapper\TMTMTSR.exe
    C:\WINDOWS\system32\P2P Networking\P2P Networking.exe
    C:\PROGRA~1\MCAFEE.COM\PERSON~1\MpfTray.exe
    C:\DOKUME~1\WINDOW~1\LOKALE~1\Temp\Rar$EX00.422\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
    R3 - URLSearchHook: PerfectNavBHO Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
    O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\system32\ATPART~1.DLL
    O2 - BHO: NavErrRedir Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
    O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_22.dll
    O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
    O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
    O4 - HKLM\..\Run: [POINTER] point32.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [SaveNow] C:\Programme\SaveNow\SaveNow.exe
    O4 - HKLM\..\Run: [Uninstall0001] "C:\Programme\Gemeinsame Dateien\Totem Shared\Uninstall0001\upd.exe" LASTCALL!adverts.mp3dancer.com!StatsMP3Dancer
    O4 - HKLM\..\Run: [ClrSchLoader] C:\Programme\ClearSearch\Loader.exe
    O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\WINDOW~1\LOKALE~1\Temp\bundle.exe
    O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
    O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
    O4 - HKLM\..\Run: [ThrustTSR] C:\Programme\ThrustMaster\ThrustMapper\TMTMTSR.exe
    O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
     
  2. whisky

    whisky Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2001
    Beiträge:
    11.014
    Spyware:
    C:\Programme\SaveNow\SaveNow.exe
    C:\Programme\ClearSearch\Loader.exe

    Fraglich:
    C:\Programme\Gemeinsame Dateien\Totem Shared\Uninstall0001\upd.exe

    C:\DOKUME~1\WINDOW~1\LOKALE~1\Temp\bundle.exe

    C:\Programme\Common files\updmgr\updmgr.exe

    C:\WINDOWS\system32\P2P Networking\P2P Networking.exe

    O4 - HKLM\..\Run: [SaveNow] C:\Programme\SaveNow\SaveNow.exe

    O4 - HKLM\..\Run: [Uninstall0001] "C:\Programme\Gemeinsame Dateien\Totem Shared\Uninstall0001\upd.exe"

    O4 - HKLM\..\Run: [ClrSchLoader] C:\Programme\ClearSearch\Loader.exe
    O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\WINDOW~1\LOKALE~1\Temp\bundle.exe
    O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
    O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe

    Das ist mal eine Auswahl - kann sein das ich was übersehen habe...
     
  3. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ diniska

    Nachdem dein System hochgradig verseucht ist, solltest du es besser neuaufsetzen.
    Du hast dir den Troj/Flood-EF, SAH Agent und diverse Ad- und Malware eingefangen.
    Kurzeitige Lösung bis zum Neuaufsetzen:
    Lade dir LSPFix und repariere damit deine WinSocks.
    Danach entfernst du alle von mir genannten EintrÃ?ge und postet nochmal ein neues Log File. Deinen IExplorer patchen, d.h. das SP1 und alle weiteren sicherheitsrelavanten Updates
    installieren.
    Diese EintrÃ?ge fixen:
    R3 - URLSearchHook: PerfectNavBHO Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
    O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\system32\ATPART~1.DLL
    O2 - BHO: NavErrRedir Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
    O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
    O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
    O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_22.dll
    O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
    O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
    O4 - HKLM\..\Run: [SaveNow] C:\Programme\SaveNow\SaveNow.exe
    O4 - HKLM\..\Run: [Uninstall0001] "C:\Programme\Gemeinsame Dateien\Totem Shared\Uninstall0001\upd.exe"
    O4 - HKLM\..\Run: [ClrSchLoader] C:\Programme\ClearSearch\Loader.exe
    O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\WINDOW~1\LOKALE~1\Temp\bundle.exe
    O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
    O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
    O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
     
  4. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    ... Hinweg damit... das Ding ist hinterlistig den bekommst du mit fixen und löschen der ".dll" nicht weg. Machst du das geht dein Internet nicht mehr, das Teil modifiziert bzw. tauscht die WinSock aus. Da beißt du dir als Anfänger die Zähne dran aus.

    Grüße
    Wolfgang
     
  5. Denniss

    Denniss Megabyte

    Registriert seit:
    23. Juli 2000
    Beiträge:
    1.289
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_22.dll
    -> Hinweg damit !!

    Sehr fraglich und vermutlich Adware :
    O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe

    siehe hier : http://pestpatrol.com/pestinfo/e/euniverse.asp

    Da ist noch einiges anderes drin enthalten .
    Bitte Vollscan mit aktualisierten Versionen von Ad-Aware6 + Spybot 1.3 + CWShredder 1.57 durchführen und dann ein erneutes LHJT-Logfile erstellen !
    Ein Update des IE könnte nötig sein aber zu empfehlen ist ein Browserwechsel auf Mozilla/Firefox oder Opera
     
  6. Gast

    Gast Guest

    Auf jeden Fall solltest Du mal Deinen IE patchen.
    Das Logfile muß muß ein anderer auswerten.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen