Welcher Wurm ist hier eigentlich nicht drauf?

Dieses Thema Welcher Wurm ist hier eigentlich nicht drauf? im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von joschi44, 15. Juli 2005.

Thema: Welcher Wurm ist hier eigentlich nicht drauf? Hallo, versuche gerade das Trümmerfeld des Rechners einer Freundin wieder ins Lot zu bringen! Sieht übel aus -...

  1. Hallo, versuche gerade das Trümmerfeld des Rechners einer Freundin wieder ins Lot zu bringen! Sieht übel aus - möchte aber format C, wenn´s geht verzichen? - Sonst brauch ich doch Tage um BS+VS+FW per Modem wieder auf den neuesten Stand bringe !

    Hier mal das log-file von Hijackthis! - aber nicht erschrecken! ;D
    Einige werden empfohlen zu fixen - was kann wirklich von denen weg ?
    Besten Dank schoneinmal für eure Hilfe! :D

    Logfile of HijackThis v1.99.1
    Scan saved at 20:14:45, on 14.07.2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
    O1 - Hosts: 172.16.21.7 lopp_1.lopp.de LOPP_1
    O1 - Hosts: 172.16.21.6 LOPP_2
    O1 - Hosts: 172.16.21.180 LOPP-Internet
    O1 - Hosts: 172.16.21.181 LOPP-Intranet

    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [Video Services] sys32.exe
    O4 - HKLM\..\Run: [Microsoft Service] C:\WINNT\system32\syshost.exe
    O4 - HKLM\..\Run: [Microsoft IDCN] C:\WINNT\system32\mshe1p.exe
    O4 - HKLM\..\Run: [msReg32 Loader] msReg32.exe
    O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe
    O4 - HKLM\..\Run: [Windows Registry Startup] C:\WINNT\TEMP\s0cks4.exe
    O4 - HKLM\..\Run: [spool] C:\WINNT\system32\expolerlog.exe
    O4 - HKLM\..\Run: [windatax] C:\WINNT\system32\logdisccrypt.exe %srun%
    O4 - HKLM\..\RunServices: [Video Services] sys32.exe
    O4 - HKLM\..\RunServices: [Windows Firewall] firewall.exe
    O4 - HKLM\..\RunServices: [msReg32 Loader] msReg32.exe
    O4 - HKLM\..\RunServices: [Windows Registry Startup] C:\WINNT\TEMP\s0cks4.exe
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - HKCU\..\Run: [diag] C:\WINNT\system32\expolerlog.exe
    O4 - HKCU\..\Run: [expolerx] C:\WINNT\system32\logdisccrypt.exe %srun%
    O4 - Startup: SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe

    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

    O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab
    O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx

    O17 - HKLM\System\CCS\Services\Tcpip\..\{38CF4C25-63F0-4E52-AC6A-5B6FFB9F8F4B}: NameServer = 62.134.11.4 195.182.110.132

    O23 - Service: COM+ System Applications (COMS) - Unknown owner - C:\WINNT\system32\lsas.exe -service (file missing)
    O23 - Service: Routing Manager Client (WksPatch) - Unknown owner - C:\WINNT\system32\drivers\svchost.exe (file missing)
     
  2. Ist das alles an Logfile ?
    Kann ich gar nicht glauben.....

    Cheers,
    Joshua
     
  3. nein nein, die Einträge die laut Hijackthis OK sind hab ich nicht gepostet!
    Brauchst du alles?

    Grüße Jörg
     
  4. Ich hatte mich nur über ein so extrem kurzes Log in Verbindung mit dem Thread gewundert - poste mal das vollständige Log hier rein.

    Cheers,
    Joshua
     
  5. So, hier nun das komplette:

    :D

    Logfile of HijackThis v1.99.1
    Scan saved at 20:14:45, on 14.07.2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
    C:\Programme\Norton Internet Security\ISSVC.exe
    C:\WINNT\system32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\System32\svchost.exe
    C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\stisvc.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\System32\mspmspsv.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\WINNT\system32\internat.exe
    C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
    C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Dokumente und Einstellungen\cs\Desktop\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
    O1 - Hosts: 172.16.21.7 lopp_1.lopp.de LOPP_1
    O1 - Hosts: 172.16.21.6 LOPP_2
    O1 - Hosts: 172.16.21.180 LOPP-Internet
    O1 - Hosts: 172.16.21.181 LOPP-Intranet
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [Video Services] sys32.exe
    O4 - HKLM\..\Run: [Microsoft Service] C:\WINNT\system32\syshost.exe
    O4 - HKLM\..\Run: [Microsoft IDCN] C:\WINNT\system32\mshe1p.exe
    O4 - HKLM\..\Run: [msReg32 Loader] msReg32.exe
    O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe
    O4 - HKLM\..\Run: [Windows Registry Startup] C:\WINNT\TEMP\s0cks4.exe
    O4 - HKLM\..\Run: [spool] C:\WINNT\system32\expolerlog.exe
    O4 - HKLM\..\Run: [windatax] C:\WINNT\system32\logdisccrypt.exe %srun%
    O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\RunServices: [Video Services] sys32.exe
    O4 - HKLM\..\RunServices: [Windows Firewall] firewall.exe
    O4 - HKLM\..\RunServices: [msReg32 Loader] msReg32.exe
    O4 - HKLM\..\RunServices: [Windows Registry Startup] C:\WINNT\TEMP\s0cks4.exe
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - HKCU\..\Run: [diag] C:\WINNT\system32\expolerlog.exe
    O4 - HKCU\..\Run: [expolerx] C:\WINNT\system32\logdisccrypt.exe %srun%
    O4 - Startup: SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
    O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ENGENIOSAG.local
    O17 - HKLM\System\CCS\Services\Tcpip\..\{38CF4C25-63F0-4E52-AC6A-5B6FFB9F8F4B}: NameServer = 62.134.11.4 195.182.110.132
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ENGENIOSAG.local
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ENGENIOSAG.local
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    O23 - Service: COM+ System Applications (COMS) - Unknown owner - C:\WINNT\system32\lsas.exe -service (file missing)
    O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
    O23 - Service: Window (mpr) - Unknown owner - \\10.10.20.3\ADMIN$\explore.exe -service (file missing)
    O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: Routing Manager Client (WksPatch) - Unknown owner - C:\WINNT\system32\drivers\svchost.exe (file missing)
     
  6. Hallo PCDCharly, was bedeutet denn abgetrennt?
    Der Link führt doch zu einem ganz anderen Log?

    Grüße joschi
     
  7. Eben deshalb. ;) Die Log war hier untendrunter gepostet. Und damit es kein Durcheinander mit deiner gibt, habe ich das Posting abgetrennt und zu einem eigenen Thread gemacht. Der Hinweis hier ist nur vorübergehend, damit der Frager sein Posting wiederfindet. :)

    Gruß
    Charly
     
  8. alles bestens Danke, hatte das posting noch nicht gesehen:

    So, laut Hijackthis sind´s ja folgende Viren/Würmer ;)

    Francette Virus
    Agobot.PS
    Blaster C

    reicht das fixen, und dann ein Virenscann im abgesichterten Modus?
    Oder muß ich die Dateien manuell suchen und löschen?
    Oder ein Patch?

    Danke, der joschi
     
  9. deine HOSTS (ohne Endung) liegt im Verzeichnis C:\WINNT\system32\drivers\etc und mit Notepad kannst du sie öffnen und editieren

    im abgesicherten Modus [F8] löschen und die Reg.-Einträge kontrollieren, WORM_AGOBOT.PS:
    http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.PS&VSect=T

    auch im abgesicherten Modus löschen und die Reg.-Dateien kontrollieren, W32.Francette Worm:
    http://www.wintotal.de/Spyware/index.php?Filter=S#Spyware139

    auch löschen, wie oben beschrieben, Keylogger TrojanSpy.Win32.Delf:
    http://www.wintotal.de/Spyware/index.php?Filter=M#Spyware5257

    weg damit und die Reg.-Einträge kontrollieren, AGOBOT.IU:
    http://www.wintotal.de/Spyware/index.php?Filter=M#Spyware5272

    MSBlast: http://www.wintotal.de/Spyware/index.php?Filter=T#Spyware140

    TEMP-Dateien löschen

    W32/Sober-I: http://www.wintotal.de/Spyware/index.php?Filter=E#Spyware5273

    W32/Poebot-J: http://www.wintotal.de/Spyware/index.php?Filter=F#Spyware5277

    W32/Agobot-AA Dienst Reste: http://www.wintotal.de/Spyware/index.php?Filter=L#Spyware5278

    W32/Nachi-K Dienst Reste: http://www.wintotal.de/Spyware/index.php?Filter=S#Spyware2820
    l

    pan_fee
     
Die Seite wird geladen...

Welcher Wurm ist hier eigentlich nicht drauf? - Ähnliche Themen

Forum Datum
Virenscanner welcher ist nur der Beste? Firewalls & Virenscanner 25. Juni 2013
hilfe brauche dringende tipps, welcher laptop ist am besten geeignet Windows XP Forum 5. Juni 2011
welcher ram für laptop Windows XP Forum 4. Mai 2011
Welcher Codec fehlt mir? Software: Empfehlungen, Gesuche & Problemlösungen 28. Nov. 2010
Pad/Controler Windows 7!!!Aber welcher? Hardware 24. Feb. 2010