wurm oder trojaner

walter68 · 18.05.2004

hallo leute!
viellecht kann mir hier wer helfen.
Hab nen würm oder trojaner auf meinen rechner den ich nicht wegbekomme. hab schon alle möglichen antiviren programme versucht nützt alles nix.
jetzt versuch ich es mal mit hijack. kann sich mal wer das log ansehen ob da was nicht stimmt.
danke im vorraus

Running processes:
C:\windows\System32\smss.exe
C:\windows\SYSTEM32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\System32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe
C:\windows\SYSTEM32\Ati2evxx.exe
C:\windows\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\windows\System32\CTHELPER.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\TelefonCD\OtbStart.EXE
C:\Programme\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\windows\System32\devldr32.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\pavsrv51.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\AVENGINE.EXE
C:\Programme\Panda Software\Panda Platinum Internet Security\SRVLOAD.EXE
C:\Programme\Panda Software\Panda Platinum Internet Security\WebProxy.exe
C:\Dokumente und Einstellungen\WalteJ\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http: //netsearchsoft.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http: //netsearchsoft.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http: //www.krone.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http: //netsearchsoft.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http: //netsearchsoft.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http: //netsearchsoft.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http: //netsearchsoft.com/searchbar.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {416A5D91-6281-40C3-8189-D571427E1685} - C:\windows\kCZoO0A.dll
O2 - BHO: (no name) - {D97287B6-4018-4060-948D-54D2122FC5C3} - C:\PROGRA~1\GEMEIN~1\GSERVI~1\0002C00.dll
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [OtbStart] C:\Programme\TelefonCD\OtbStart.EXE
O4 - HKLM\..\Run: [sncntr] c:\windows\system32\sncntr.exe /nocomm
O4 - HKLM\..\Run: [SCANINICIO] C:\Programme\Panda Software\Panda Platinum Internet Security\Inicio.exe
O4 - HKLM\..\Run: [APVXDWIN] C:\Programme\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE /s
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: Messenger (HKLM)
O9 - Extra->Tools' menuitem: Messenger (HKLM)
O10 - Unknown file in Winsock LSP: c:\programme\panda software\panda platinum internet security\pavlsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\panda software\panda platinum internet security\pavlsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\panda software\panda platinum internet security\pavlsp.dll
O12 - Plugin for .qt: C:\Programme\Internet Explorer\PLUGINS\npqtw32.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_AT.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF58B50B-47FC-47F7-B030-1A19899AFB44}: NameServer = 195.34.133.13,195.34.133.14

Links deaktiviert
verschoben von Windows XP

berliner-loewe · 18.05.2004

Scheint dieser zu sein
http://research.pestpatrol.com/Search/FileInfoResults.asp?MD5=002fcd0f5a2589869fa7f6c9c9112e64

Und hier eine Beschreibung zum entfernen.
http://www.f-secure.de/v-desk/dluca.shtml

An deiner Stelle würde ich alle Daten (keine ausführbaren Dateien) sichern, und das System neu aufsetzen.

Außerdem solltest Du alle deine Passwörter ändern.

Flöckchen · 18.05.2004

walter68 schrieb:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http: //netsearchsoft.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http: //netsearchsoft.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http: //www.krone.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http: //netsearchsoft.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http: //netsearchsoft.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http: //netsearchsoft.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http: //netsearchsoft.com/searchbar.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)

fixen

O2 - BHO: (no name) - {416A5D91-6281-40C3-8189-D571427E1685} - C:\windows\kCZoO0A.dll
O2 - BHO: (no name) - {D97287B6-4018-4060-948D-54D2122FC5C3} - C:\PROGRA~1\GEMEIN~1\GSERVI~1\0002C00.dll

Was die beiden Einträge sollen, weiß ich nicht genau, allerdings sehen die dll's schon ein wenig merkwürdig aus.

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

fixen

O4 - HKLM\..\Run: [sncntr] c:\windows\system32\sncntr.exe /nocomm

Dazu hat bla bla ja schon was gesagt.
http://www.pestpatrol.com/pestinfo/t/trojandownloader_win32_dluca.asp

O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_AT.cab

Das würde ich fixen, für den Fall, daß es doch benötigt wurde, wird es dann eh neu heruntergeladen.

PCDpan_fee · 18.05.2004

fehlt da nicht noch der HijackThis Kopf? ???
(Scan saved at: xxx Platform: xxx MSIE: xxx)

walter68 schrieb:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http: //netsearchsoft.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http: //netsearchsoft.com/searchbar.html

fixen und CoolWebShredder sollte netsearch eigentlich entfernen können. Info, und schau auch mal, ob du eine sp.exe im C:\WINDOWS Ordner hast.

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http: //netsearchsoft.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http: //netsearchsoft.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http: //netsearchsoft.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http: //netsearchsoft.com/searchbar.html

fixen und CoolWebShredder mal laufen lassen.

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

Proxy oder Router? ???

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)

hattest du mal IncrediMail? Wenn du es nicht mehr hast, fixen

O2 - BHO: (no name) - {416A5D91-6281-40C3-8189-D571427E1685} - C:\windows\kCZoO0A.dll

fixen

O2 - BHO: (no name) - {D97287B6-4018-4060-948D-54D2122FC5C3} - C:\PROGRA~1\GEMEIN~1\GSERVI~1\0002C00.dll

fixen, SubSearch

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

du hattest mal McAfee Antivirus drauf, kannst also fixen

O4 - HKLM\..\Run: [sncntr] c:\windows\system32\sncntr.exe /nocomm

fixen und lesen --> hier

O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http:/ 66.230.146.53/EPlugin_AT.cab

fixen, ntsearch

pan_fee

walter68 · 19.05.2004

hallo
danke für die hilfe.
hab jetzt mal einige sachen gefixed!
hat aber nix genützt der download geht munter weiter stell mal die neue log rein

ogfile of HijackThis v1.97.7
Scan saved at 10:49:01, on 19.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\windows\System32\smss.exe
C:\windows\SYSTEM32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\System32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe
C:\windows\SYSTEM32\Ati2evxx.exe
C:\windows\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\windows\System32\CTHELPER.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\TelefonCD\OtbStart.EXE
C:\Programme\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\windows\System32\devldr32.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\pavsrv51.exe
C:\WINDOWS\system32\sessmgr.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\SRVLOAD.EXE
C:\Programme\Panda Software\Panda Platinum Internet Security\AVENGINE.EXE
C:\Programme\Panda Software\Panda Platinum Internet Security\WebProxy.exe
C:\Dokumente und Einstellungen\WalteJ\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [OtbStart] C:\Programme\TelefonCD\OtbStart.EXE
O4 - HKLM\..\Run: [SCANINICIO] C:\Programme\Panda Software\Panda Platinum Internet Security\Inicio.exe
O4 - HKLM\..\Run: [APVXDWIN] C:\Programme\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE /s
O4 - HKCU\..\Run: [\IEService.exe] C:\DOKUME~1\WalteJ\ANWEND~1\IESERV~1\IEService.exe
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: Messenger (HKLM)
O9 - Extra->Tools' menuitem: Messenger (HKLM)
O10 - Unknown file in Winsock LSP: c:\programme\panda software\panda platinum internet security\pavlsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\panda software\panda platinum internet security\pavlsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\panda software\panda platinum internet security\pavlsp.dll
O12 - Plugin for .qt: C:\Programme\Internet Explorer\PLUGINS\npqtw32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF58B50B-47FC-47F7-B030-1A19899AFB44}: NameServer = 195.34.133.13,195.34.133.14

walter68 · 19.05.2004

sorry hab noch was vergessen alle dateien die ihr genannt habt,
hab ich nicht auf meinen pc. der wurm oder trojaner nennt sich anscheinend anders
mfg walter

smartie · 19.05.2004

Das liegt einfach daran, dass HijackThis kein Wurm-Removal-Tool ist, sondern lediglich aufzeigt, was momentan alles aktiv auf deinem Rechner ist. Natürlich kommt es oft vor, dass sich ein Schädling entweder sofort nach Entfernen oder nach einem Reboot reaktiviert (aus einer Quelle außerhalb des Sichtbereiches von HijackThis).

Findet der Stinger was?: http://www.wintotal.de/Software/index.php?id=1855

BTW scheint dein Panda Platinum Internet Security die Investition nicht wirklich zu rechtfertigen.

Neben einem aktuellen System solltest du auch mal über einen Browser-Wechsel nachdenken: http://www.wintotal-forum.de/?board=35;action=display;threadid=36533

walter68 · 19.05.2004

hab schon alles mögliche versucht!
auch stinger ich schaff es einfach nicht den dowload abzustellen ich hab keine ahnung mehr was ich noch versuchen soll.

mein problem ist das ich den selben wurm/trojaner auf meinen
2 pc habe und das sind meine ganzen firmen daten drauf.
sonst würde ich den pc formatieren und neu aufsetzten.
Aber der rechner ist sozusagen versuchskaninchen.
meinen 2 pc hab ich vom internet und vom netzwerk abgehängt,
nur muss ich von dem rechner unbedingt das ding wegkriegen,
formatieren kann ich den nicht!!
mfg Walter

smartie · 19.05.2004

Jo, genau darum geht es mir. Es wäre fein, den/die Namen des/der Schädlinge(s) zu kennen.

hp · 19.05.2004

versuchs mal hier http://www.pestscan.com die können würmer, trojaner, adware, hijacker usw online entfernen ...

greetz

hugo

berliner-loewe · 19.05.2004

Hallo Walther,

worin besteht das Problem die Daten von deiner Firma zu sichern?
Daten sichern, PC's neu aufsetzen.
Hast Du bis jetzt noch kein Backup deiner Daten angelegt?
Alle Daten die nicht gesichert sind, gelten als verloren.
Hört sich hart an, aber m.E. ist dies so.

Mit Hijackthis wirst Du die Würmer und Trojaner nicht los.
Du könntest es noch über diverse Onlinescans versuchen:
z.B. bei
TrendMicro
oder bei
BitDefender
oder bei
RAV ANTIVIRUS SCAN ONLINE

Aber schlußendlich, solltest Du Dir Gedanken darüber machen dein System neu aufzusetzen oder weißt Du was noch so alles auf deinem Rechner ist?
Nicht vergessen, anschließend die Passwörter zu ändern.

Wünsche Dir viel Erfolg

wurm oder trojaner

walter68

berliner-loewe

Flöckchen

PCDpan_fee

walter68

walter68

smartie

walter68

smartie

hp

berliner-loewe

wurm oder trojaner

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums