Viren - wer kann helfen?

Annabell
Gast

« am: 25.01.05, 11:44:32 »

Kann sich jemand nachfolgendes Logfile ansehen. Wie werde ich die Bedrohungen wieder los?

Logfile of HijackThis v1.99.0
Scan saved at 09:43:17, on 25.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\REALVNC\WINVNC\WINVNC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\IWP\NPFMNTOR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://allsearch.us/iresults.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.allsearch.us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\pcpww.dll/sp.html#10001
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: (no name) - _{30192F8D-0958-44E6-B54D-331FD39AC959} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\PROGRA~1\YOURSI~1\YSB.DLL
O3 - Toolbar: IE Search Toolbar - {EB381422-F797-4A98-A266-9DC490821907} - C:\PROGRAMME\IESEARCHTOOLBAR\IESEARCHTOOLBAR.DLL
O3 - Toolbar: (no name) - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - C:\PROGRAMME\SEP\SEP.DLL (file missing)
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [WinVNC] "C:\PROGRAMME\REALVNC\WINVNC\WINVNC.EXE" -service
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [NPFMonitor] C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [Tsa2] C:\PROGRAMME\COMMON FILES\TSA\TSM2.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\SYSTEM\maxspeed.exe (file missing)
O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\SYSTEM\maxspeed.exe (file missing)
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O16 - DPF: {042EEA26-2402-4E5A-B5BB-0FB445A5526E} (VacPro.win98_P) - http://www9.advnt01.com/dialer/win98_P.CAB
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDTInc/ie/bridge-c7.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} - http://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} - http://download.overpro.com/WildApp.cab
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = bettmeralp.ch
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.230.47.253

Moderator informieren

Antworten zu Viren - wer kann helfen?:

wolfgang30
Gast

Re: Viren - wer kann helfen?

« Antwort #1 am: 27.01.05, 19:53:08 »

Hallo Annabel !

Da ist eine ganze Reihe zu fixen/zu löschen und zwar im sog. abgesicherten Modus
(wie geht das? siehe: http://www.bsi.bund.de/av/texte/wiederher.htm)

fixe dann:

1.R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://allsearch.us/iresults.php

2.R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.allsearch.us

3.R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\pcpww.dll/sp.html#10001

4.R3 - URLSearchHook: (no name) - _{30192F8D-0958-44E6-B54D-331FD39AC959} - (no file

5. O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\PROGRA~1\YOURSI~1\YSB.DLL

6.O3 - Toolbar: IE Search Toolbar - {EB381422-F797-4A98-A266-9DC490821907} - C:\PROGRAMME\IESEARCHTOOLBAR\IESEARCHTOOLBAR.DLL

7. O3 - Toolbar: (no name) - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - C:\PROGRAMME\SEP\SEP.DLL (file missing)

8. O4 - HKCU\..\Run: [Tsa2] C:\PROGRAMME\COMMON FILES\TSA\TSM2.EXE

9. O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\SYSTEM\maxspeed.exe (file missing

10. O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\SYSTEM\maxspeed.exe (file missing)

11. 015--> ALLE 20 Einträge fixen

12. O16 - DPF: {042EEA26-2402-4E5A-B5BB-0FB445A5526E} (VacPro.win98_P) - http://www9.advnt01.com/dialer/win98_P.CAB

13. O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} http://static.windupdates.com/cab/CDTInc/ie/bridge-c7.cab

14. O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} - http://static.topconverting.com/activex/loader2.ocx

15. O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} - http://download.overpro.com/WildApp.cab

16. O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab

________________________________________________

Nach dem fixen erstelle bitte ein neues Hijacklog und poste es hier zur Nachkontrolle, ob nichts übersehen oder vergessen wurde.

Frage:
- hast Du Ad-aware (z.Z. V.1.05) + Spybot(z.Z. V.1.3)?
falls nicht ,dann zB. bei
http://www.chip.de/downloads/c_topdownloads_8949630.html
Hier findest Du Ad-aware als Nr.7 und Spybot als Nr.3.
Dann beide aktualisieren und einen Scan machen.

- evtl. auch schon mal vorab einen kostenlosen OnlineScan mit Pestpatrol machen:
--> http://store.ca.com/v2.0-img/operations/safer/site/ab/promo53025scan.htm
oder webroot's Spysweeper:
--> http://www.webroot.com (rechts oben der Scanner).
Leider löschen die Onlinescanner nichts, sondern machen nur eine
Diagnose für etwaige andere Schädlinge,die von Hijackthis nicht erkannt/nicht erfasst werden; aber ist wichtig (Namen der Schädlinge).

- Du hast den Norton AV-Scanner
Mache auf jeden Fall auch einen 2. , evlt. 3. AV-Check mit einem AV-Onlinescanner.

Hier ein Link mit 13 kostenlosen Scannern:

http://malware.bul-online.de/av_onlinescan.php

Sehr gut ist z.B. Kaspersky (online scan leider auf 1 MB begrenzt,da kannst Du keinen ganzen PC scannen, sondern nur einzelne verdächtige Dateien).
Aber sehr empfehlenswert ist F-Secure (arbeitet mit der Kaspersky-Engine. Löscht auch im Einzelfall gewisse Schädlinge, je nach Art halt) oder auch Panda, Sophos oder TrendMicro (=Housecall).

Poste den Namen von evtl. gemeldeten Viren, Würmer etc.

- falls Du schon eine bestimme Datei im Verdacht hast, kannst Du hier
unter http://virusscan.jotti.org/ gleichzeitig mit 10 AV-Scannern
diese prüfen lassen (max. auf 10 MB/Scan begrenzt).
Niemals nur 1 Scanner vertrauen !

Viel Erfolg.