![]() |
Willkommen, Gast ( Anmelden | Registrierung )
![]() ![]() |
![]() |
![]()
Beitrag
#1
|
|
![]() Ist neu hier Gruppe: Mitglieder Beiträge: 8 Mitglied seit: 20.07.2004 Wohnort: Wien Mitglieds-Nr.: 1.244 ![]() |
Hallo an alle. Habe anscheinend den Hotxxx dialer eingefangen.
Die üblichen Verdächtigen an Removertools sind leider nicht funktionell. Habe ein Log erzeugt, automatisch ausgewertet und die mit rot gekennzeichneten gelöscht. Hat leider nix gebracht. Hier nochmals das neue log. Bitte um Hilfe. Logfile of HijackThis v1.98.0 Scan saved at 20:47:53, on 20.07.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\I81SHELL.EXE C:\WINDOWS\MIXER.EXE C:\PROGRAMME\SCANSOFT\PAPERPORT\FBDIRECT.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\AONINFORMER\INFORMER.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\IBMTOOLS\APTEZBTN\APTEZBP.EXE C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE C:\WINDOWS\LOADQM.EXE C:\WINDOWS\SYSTEM\BSGVWA.EXE C:\WINDOWS\SHMAN.EXE C:\WINDOWS\SYSTEM\CTFMON.EXE C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE C:\COREL\GRAPHICS8\PROGRAMS\MFINDEXER.EXE C:\PROGRAMME\SCANSOFT\PAPERPORT\CONFIG\EREG\REMIND32.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE C:\WINDOWS\MSMI32.EXE C:\WINDOWS\TEMP\MSMRG.EXE C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\BW7OF11K\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.at/0SEDEAT/SAOS01 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.miosearch.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local> F1 - win.ini: run=hpfsched O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN TOOLBAR\01.01.1629.0\DE-AT\MSNTB.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [I81SHELL] I81SHELL.EXE O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [PP7600usb] C:\PROGRA~1\SCANSOFT\PAPERP~1\FBDirect.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [jservice] C:\PROGRAMME\AONINFORMER\INFORMER.exe O4 - HKLM\..\Run: [AEZBProc] c:\ibmtools\aptezbtn\aptezbp.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [zqsbgg] C:\WINDOWS\SYSTEM\bsgvwa.exe O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\shman.exe /i O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE" O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\ScanSoft\PaperPort\Config\Ereg\REMIND32.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000 O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\euro-kazemule-00\index.html O16 - DPF: ConferenceRoom Java Client - http://chat.rainbow.or.at/java/cr.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab28177.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28177.cab -------------------- Wenn Gott gewollt hätte, dass der Mensch läuft, dann hätte er ihn nicht das Rad und den Verbrennungsmotor erfinden lassen...
|
|
|
![]()
Beitrag
#2
|
|
AV-Spezialist ![]() Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 ![]() |
fix bitte folgendes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.at/0SEDEAT/SAOS01 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.miosearch.com O4 - HKLM\..\Run: [zqsbgg] C:\WINDOWS\SYSTEM\bsgvwa.exe O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\shman.exe /i O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE Neu starten und deise Dateien bitte an virus@rokop-security.de schicken: C:\WINDOWS\SYSTEM\bsgvwa.exe C:\WINDOWS\shman.exe C:\WINDOWS\TEMP\MSMRG.EXE und das verzeichniss loeschen: C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH [edit: Email korrigiert! ![]() Der Beitrag wurde von raman bearbeitet: 21.07.2004, 13:32 -------------------- MfG Ralf
|
|
|
![]()
Beitrag
#3
|
|
Kennt sich hier aus ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 169 Mitglied seit: 12.01.2004 Mitglieds-Nr.: 329 ![]() |
QUOTE Neu starten und deise Dateien bitte an virus@rokop-seurity.de schicken: C:\WINDOWS\SYSTEM\bsgvwa.exe C:\WINDOWS\shman.exe C:\WINDOWS\TEMP\MSMRG.EXE @jeeper die EMail Adresse ist virus@rokop-security.de Gruß paff Der Beitrag wurde von paff bearbeitet: 20.07.2004, 21:12 |
|
|
![]()
Beitrag
#4
|
|
![]() Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 8 Mitglied seit: 20.07.2004 Wohnort: Wien Mitglieds-Nr.: 1.244 ![]() |
Der befallene Rechner steht bei einer Kundschaft von mir. Sobald ich wieder Zugriff darauf habe werde ich die Dateien senden.
Erst mal Danke für die schnelle Hilfe. -------------------- Wenn Gott gewollt hätte, dass der Mensch läuft, dann hätte er ihn nicht das Rad und den Verbrennungsmotor erfinden lassen...
|
|
|
![]()
Beitrag
#5
|
|
AV-Spezialist ![]() Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 ![]() |
Diese Datei C:\WINDOWS\shman.exe ist wohl Backdoor.webdor.e. Scheint relativ weit verbreitet zu sein!?
-------------------- MfG Ralf
|
|
|
![]()
Beitrag
#6
|
|
![]() Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 8 Mitglied seit: 20.07.2004 Wohnort: Wien Mitglieds-Nr.: 1.244 ![]() |
So, gute Nachricht: Das fixen hat funktioniert. Vielen Dank.
Die schlechte: Als mir der Kunde die drei gewünschten Dateien gesendet hat die mein Virenscanner sofort gelöscht und sind somit leider ned verfügbar. ![]() -------------------- Wenn Gott gewollt hätte, dass der Mensch läuft, dann hätte er ihn nicht das Rad und den Verbrennungsmotor erfinden lassen...
|
|
|
![]()
Beitrag
#7
|
|
AV-Spezialist ![]() Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 ![]() |
Kein Problem. Hast du denn zufaellig die Virennamen, die gemeldet wurden?
-------------------- MfG Ralf
|
|
|
![]()
Beitrag
#8
|
|
![]() Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 8 Mitglied seit: 20.07.2004 Wohnort: Wien Mitglieds-Nr.: 1.244 ![]() |
Ja.
gemeldet wurden: Adware.Binet und Dialer.OneOnOne -------------------- Wenn Gott gewollt hätte, dass der Mensch läuft, dann hätte er ihn nicht das Rad und den Verbrennungsmotor erfinden lassen...
|
|
|
![]()
Beitrag
#9
|
|
Womanizer ![]() Gruppe: Freunde Beiträge: 3.798 Mitglied seit: 05.05.2004 Mitglieds-Nr.: 765 ![]() |
Beschreibungen dazu:
http://sarc.com/avcenter/venc/data/adware.binet.html und http://securityresponse.symantec.com/avcen...r.oneonone.html -------------------- |
|
|
![]() ![]() |
Vereinfachte Darstellung | Aktuelles Datum: 19.06.2024, 21:32 |