Wie kriege ich 017 weg?

[wombat115]

Logfile of HijackThis v1.99.1
Scan saved at 22:27:41, on 21.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\windows\Explorer.EXE
C:\windows\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\windows\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\windows\system32\LVCOMSX.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programme\D-Tools\daemon.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\windows\system32\nvsvc32.exe
C:\windows\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\windows\System32\alg.exe
C:\Dokumente und Einstellungen\wom\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.annathumbs.com/%20to%20ve...%20years%20old
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R3 - URLSearchHook: (no name) - {843DF46D-86D1-D806-0DAF-3AB58718A14E} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LVCOMSX] C:\windows\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/game...ts/y/ct2_x.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {70E6E083-6690-4129-A34D-F90094EEB4ED} (AWCVoiceClient Control) - http://www.anywebcam.com/awc/html/voice/voice.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE320FBB-A96B-45EE-BE44-503323EC04DA}: NameServer = 85.255.116.123 85.255.112.89
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe


Ich kenne die IP Nummer nicht. Ich habe im Internet gesucht und das ist irgendeine russische IP Nummer. Leider kann ich 017 nicht einfach mit hijackthis entfernen. taucht immer wieder von neuem auf.

Ist der Eintrag gefährlich? Was macht er?

[Xeranox]

Hallo wombat115

bitte die Systemwiederherstellung im Wechsel aktivieren, deaktivieren, dazwischen jedes mal neu booten. Nimm dir Zeit dafür, das System ist nicht so schnell. 5-10 Minuten zwischen den einzelnen Durchgängen. Zum Schluss sollte die Systemwiederherstellung deaktiviert, also ausgestellt sein. -> Bitte tun, es entfernt die Malware aus der Nische System Volume Restore

Lade den Disk Cleaner runter.
Betrachte den Screenshot.

Lass den Disk Cleaner laufen
Setze ein Häkchen in alle Fächer, die gereinigt werden müssen:
Temporary Internet Files und Temporary System Files, Cache, History und Prefetch
und in soviele Fächer wie möglich.

Vergewissere dich, dass du auf deinem Rechner alles siehst: In den Ordneroptionen das Häkchen entfernen bei "geschützte Systemdateien ausblenden" und etwas weiter unten wählt man bei "Versteckte Ordner und Verzeichnisse" den Punkt "Alle Dateien und Ordner anzeigen".

1) Lege einen Ordner c:\bases an (Einführung in Windows)
2) Download der -> mwav.exe <- diesen Link verwenden!
3) Entpacke die Datei (mit einem Zip-Programm UltimateZip) !!! Die Datei mwav.exe MUSS in diesen Ordner c:\bases entpackt werden. wenn der Pfad nicht genau so angegeben wird, funktioniert der scanner/updater nicht!
4) Doppelklick auf die Datei kavupd.exe, damit wird der update gestartet.
5) Wechsle in den abgesicherten Modus von Windows
6) Öffne den Explorer, navigiere zum Ordner c:\bases, starte mwavscan.com, schließe den Explorer.
7) Überprüfe die Einstellungen, unter scan option-->memory, startup folders, registry, system folders und services sowie drive (auswahl) und scan all files sollten aktiviert sein, dann den Button *SCAN/CLEAN* drücken. Angehakt werden soll alles, was auf dieser Abbildung zu sehen ist:

8) Wenn der Scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen Modus.

9) Lade das findmwav.zipvonKarl83 runter und entpacke es in den Ordner, wo die mwav.log liegt, also in C:\bases. Es enthält eine Datei findmwav.bat. Nun gehe im Explorer in diesen Ordner und starte die findmwav.bat. Es geht kurz ein Dosfenster auf, wenn dies sich wieder schließt, findest Du im selben Ordner eine neue Datei namens found.txt. Ein Doppelklick auf diese Datei lädt sie in Notepad. Kopiere den kompletten Inhalt und poste ihn.

Poste das Ergebnis des eScan und ein neues HJT-Logfile.

Xeranox

[Speedy]

hi

wenn wir pech haben, garnicht

diese datei(en) hier bei virustotal oder bei Jotti überprüfen lassen, ergebnis (egal wie es aussieht-> wenn vorhanden) posten.

C:\WINDOWS\system32\winbrume.dll

Suchbegriff: 85.255.116.123
Adresse: whois.ripe.net

Suchergebnis:

% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Note: the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
% http://www.ripe.net/db/news/abuse-pr...-20050331.html
% for more details.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag

% Information related to '85.255.112.0 - 85.255.127.255'

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine
remarks: -----------------------------------
remarks: Abuse notifications to: abuse@inhoster.com
remarks: Network problems to: noc@inhoster.com
remarks: Peering requests to: peering@inhoster.com
remarks: -----------------------------------
country: UA
org: ORG-EST1-RIPE
admin-c: AK4026-RIPE
tech-c: AK4026-RIPE
tech-c: FWHS1-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-by: RECIT-MNT
mnt-routes: RECIT-MNT
mnt-domains: RECIT-MNT
mnt-by: DAV-MNT
mnt-routes: DAV-MNT
mnt-domains: DAV-MNT
source: RIPE # Filtered

organisation: ORG-EST1-RIPE
org-name: INHOSTER
org-type: NON-REGISTRY
remarks: *************************************
remarks: * Abuse contacts: abuse@inhoster.com *
remarks: *************************************
address: OOO Inhoster
address: Poltavskij Shliax 24, Xarkov,
address: 61000, Ukraine
phone: +38 066 4633621
e-mail: support@inhoster.com
admin-c: AK4026-RIPE
tech-c: AK4026-RIPE
mnt-ref: DAV-MNT
mnt-by: DAV-MNT
source: RIPE # Filtered

person: Andrei Kislizin
address: OOO Inhoster,
address: ul.Antonova 5, Kiev,
address: 03186, Ukraine
phone: +38 044 2404332
nic-hdl: AK4026-RIPE
source: RIPE # Filtered

person: Fast Web Hosting Support
address: 01110, Ukraine, Kiev, 20Á, Solomenskaya street. room 201.
address: UA
phone: +357 99 117759
e-mail: support@fwebhost.com
nic-hdl: FWHS1-RIPE
source: RIPE # Filtered

O17 - Lop.com-Domain Veränderungen
Beispieleinträge:

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

Was zu unternehmen ist:
Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge).
Für vorhandene 'NameServer' (DNS Server) Einträge, hilft im Zweifel eine Suche mit Google nach den IP-Adressen bei der Entscheidung, ob diese Einträge 'gut' oder 'schlecht' sind.

nimm den rechner vom netz, beende alle wächterprogramme und fixe mit hijackthis folgende einträge

O17 - HKLM\System\CCS\Services\Tcpip\..\{CE320FBB-A96B-45EE-BE44-503323EC04DA}: NameServer = 85.255.116.123 85.255.112.89
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll (file missing)
F2 - REG:system.ini: UserInit=userinit.exe
R3 - URLSearchHook: (no name) - {843DF46D-86D1-D806-0DAF-3AB58718A14E} - (no file)

starte den rechner neu, erstelle ein neues hjt-logfile und aktiviere dann deine wächterprogramme, erstelle neuerlich ein hjt-logfile (zum speichern einen anderen namen verwenden) poste beide logfile

[wombat115]

Danke. Ich kann das erst Anfang nächster Woche machen, weil ich das Wochenende weg bin.

Was macht denn dieser Eintrag? Erlaube ich der IP irgendetwas? Kann diese IP Adresse etwas auf/von meinem Computer machen?

Adaware, Spybot, Norton, diskcleaner habe ich drüber laufen lassen. Ist jetzt alles sauber. Das auffälligste bei Spybot war ein Eintrag, dass die Firewall deaktiviert wird oder ich bei einer Deaktivierung nicht informiert werde (weiss nicht mehr ganau, wie das heißt). Ist das sehr gefährlich. Glaube das ist eine bekannteres Problem, weil ich das bei meiner Freundin auch schonmal drauf hatte.

[Speedy]

hi, hier eine beschreibung dazu

O17 Einträge



Diese Sektion entspricht dem Lop.com Domain Hacks. Wenn Sie auf eine Webseite gehen, indem Sie einen Hostnamen wie www.bleepingcomputer.com, anstatt einer IP Adresse, dann nutzt Ihr Computer einen DNS-Server um den Hostnamen in eine IP Adresse wie 192.168.1.0 umzuwandeln. Ein Domain Hack entsteht durch einen Hacker, der Ihre DNS Server auf Ihrem PC zu seinem Server umleitet. Von dort aus können Hacker Sie dann auf jede Seite umleiten, die den Hackern genehm ist. Durch das hinzufügen von google.com zu dem DNS Server der Hacker,ermöglicht es den Hackern Ihren Versuch auf www.google.com zukommen, auf eine x-beliebige von den Hackern ausgewählte Seite umzuleiten.

Beispiel Auflistung: O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175


Wenn Sie hierfür Einträge finden und sie nicht zu Ihrem ISP oder Ihrem Betrieb gehören und der DNS Server auch nicht zu Ihrem ISP oder Ihrem Betrieb gehören, dann sollten Sie diese Einträge durch HijackThis reparieren. Sie können zu ARIN gehen um dort eine "WhoIs" nach DNS Server IP Adressen durch zu führen, um den Namen der dazugehörigen Firma zu ermitteln.

[wombat115]

hallo,

ich hatte vor einiger zeit um hilfe gebeten, die 017 zu entfernen. ich habe nun alles gemacht, was mir in dem post von euch geraten wurde.

hier die beiden erbetenen logfiles:

Logfile of HijackThis v1.99.1
Scan saved at 03:30:09, on 18.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\windows\system32\spoolsv.exe
C:\windows\Explorer.EXE
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\windows\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\windows\system32\LVCOMSX.EXE
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programme\D-Tools\daemon.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\windows\cyb2k.exe
C:\Programme\Messenger\msmsgs.exe
C:\windows\system32\cmd.exe
C:\windows\system32\cmd.exe
C:\windows\system32\cmd.exe
C:\windows\system32\cmd.exe
C:\windows\system32\cmd.exe
C:\windows\system32\cmd.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\windows\system32\nvsvc32.exe
C:\windows\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Dokumente und Einstellungen\wom\Desktop\HijackThis.exe
C:\Programme\Crazy Browser\Crazy Browser.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {184726FC-0A5F-1C4B-02D0-96C8A7EC9D84} - C:\Programme\LinkOptimizer\LinkOptimizer.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LVCOMSX] C:\windows\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [C2K] C:\windows\cyb2k.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Syst em, DisableRegedit=1
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/game...ts/y/ct2_x.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {70E6E083-6690-4129-A34D-F90094EEB4ED} (AWCVoiceClient Control) - http://www.anywebcam.com/awc/html/voice/voice.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE320FBB-A96B-45EE-BE44-503323EC04DA}: NameServer = 85.255.116.92 85.255.112.68
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

und:


---------- RESULTS.TXT
Wed May 17 23:29:33 2006 => File C:\inst.hta infected by "Trojan-Downloader.HTA.Agent.b" Virus. Action Taken: File Deleted.
Wed May 17 23:29:33 2006 => File C:\ntdetect.hta infected by "Trojan-Dropper.VBS.Inor.cj" Virus. Action Taken: File Deleted.
Wed May 17 23:44:31 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\02C47718.exe infected by "Trojan.Win32.Dialer.mp" Virus. Action Taken: File Deleted.
Wed May 17 23:44:31 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\084018CA.jar infected by "Exploit.Java.ByteVerify" Virus. Action Taken: File Renamed.
Wed May 17 23:44:31 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\084D40BC infected by "Trojan-Downloader.Win32.Small.ask" Virus. Action Taken: File Deleted.
Wed May 17 23:44:32 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\08506AB8.exe infected by "Trojan-Downloader.Win32.Small.ask" Virus. Action Taken: File Deleted.
Wed May 17 23:44:32 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\10294816.exe infected by "Trojan.Win32.Dialer.lc" Virus. Action Taken: File Deleted.
Wed May 17 23:44:32 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\118D4D12.exe infected by "Trojan.Win32.Dialer.kp" Virus. Action Taken: File Deleted.
Wed May 17 23:44:33 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1190770E.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
Wed May 17 23:44:33 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\14C556F0.exe infected by "Trojan-Downloader.Win32.Agent.xq" Virus. Action Taken: File Deleted.
Wed May 17 23:44:33 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\15411268.exe infected by "Trojan-Downloader.Win32.Agent.xq" Virus. Action Taken: File Deleted.
Wed May 17 23:44:33 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1A1E1C43.exe infected by "Trojan.Win32.Pakes" Virus. Action Taken: File Deleted.
Wed May 17 23:44:34 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\222A0C33.exe infected by "Trojan.Win32.Dialer.mw" Virus. Action Taken: File Deleted.
Wed May 17 23:44:34 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\236377D3.txt infected by "Trojan-Downloader.VBS.Small.ae" Virus. Action Taken: File Deleted.
Wed May 17 23:44:34 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\299C00F9.vbs infected by "Trojan-Downloader.VBS.Psyme.br" Virus. Action Taken: File Deleted.
Wed May 17 23:44:34 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\2D196B27.exe infected by "Trojan.Win32.Small.hl" Virus. Action Taken: File Deleted.
Wed May 17 23:44:34 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\34353440.tmp infected by "Trojan-Downloader.Win32.Small.azk" Virus. Action Taken: File Deleted.
Wed May 17 23:44:34 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3449302A.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: File Deleted.
Wed May 17 23:44:35 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\4A1E0B1A.exe infected by "Trojan.Win32.Dialer.eb" Virus. Action Taken: File Deleted.
Wed May 17 23:44:35 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\52B86E7E.exe infected by "Trojan.Win32.Dialer.eb" Virus. Action Taken: File Deleted.
Wed May 17 23:44:35 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\52BB187B.exe infected by "Trojan.Win32.Dialer.eb" Virus. Action Taken: File Deleted.
Wed May 17 23:44:35 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\52BF4277.exe infected by "Trojan.Win32.Dialer.eb" Virus. Action Taken: File Deleted.
Wed May 17 23:44:36 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\52C26C73.exe infected by "Trojan.Win32.Dialer.eb" Virus. Action Taken: File Deleted.
Wed May 17 23:44:36 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\53AE17D2.exe infected by "Trojan.Win32.Small.gq" Virus. Action Taken: File Deleted.
Wed May 17 23:44:36 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\62A67981.tmp infected by "Trojan-Downloader.Win32.Small.bau" Virus. Action Taken: File Deleted.
Wed May 17 23:44:36 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\62AA237E.tmp infected by "Trojan-Downloader.Win32.Small.bau" Virus. Action Taken: File Deleted.
Wed May 17 23:44:37 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\68BA34D4.exe infected by "Trojan-Downloader.Win32.CWS.gen" Virus. Action Taken: File Deleted.
Wed May 17 23:44:37 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\68BD5ED0.exe infected by "Trojan-Downloader.Win32.CWS.gen" Virus. Action Taken: File Deleted.
Wed May 17 23:44:37 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\68BD5ED0.htm infected by "Trojan-Dropper.VBS.Inor.cz" Virus. Action Taken: File Deleted.
Wed May 17 23:44:37 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\68C108CC.exe infected by "Trojan-Downloader.Win32.CWS.gen" Virus. Action Taken: File Deleted.
Wed May 17 23:44:37 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\68CE30BE.jar infected by "Exploit.Java.ByteVerify" Virus. Action Taken: File Renamed.
Wed May 17 23:44:37 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\6AEA4069.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
Wed May 17 23:44:38 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\6AEB189E.jpg infected by "Trojan.Win32.DNSChanger.cw" Virus. Action Taken: File Deleted.
Wed May 17 23:44:38 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\6E144705.htm infected by "Trojan-Downloader.HTML.Agent.g" Virus. Action Taken: File Deleted.
Wed May 17 23:44:38 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\745E1D05.exe infected by "Trojan.Win32.Favadd.an" Virus. Action Taken: File Deleted.
Wed May 17 23:44:38 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\746470FE.exe infected by "Backdoor.Win32.Agent.rw" Virus. Action Taken: File Renamed.
Wed May 17 23:44:38 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\78FA04BB.exe infected by "Trojan-Clicker.Win32.Small.kg" Virus. Action Taken: File Deleted.
Wed May 17 23:37:20 2006 => File C:\Programme\eMule1\Incoming\mIRC.v6.16.WinALL.Incl.Keygen-NGEN.rar tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
Wed May 17 23:44:31 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\00FC7CB5.dll tagged as not-a-virus:AdWare.Win32.BHO.ah. No Action Taken.
Wed May 17 23:44:32 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0D323B4C.exe tagged as not-a-virus:AdWare.Win32.FindSpy.a. No Action Taken.
Wed May 17 23:44:33 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\11C535DC.exe tagged as not-a-virus:AdWare.Win32.FindSpy.a. No Action Taken.
Wed May 17 23:44:33 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\147C3EF4.exe tagged as not-a-virus:AdWare.Win32.BHO.ah. No Action Taken.
Wed May 17 23:44:34 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\2D30110E.exe tagged as not-a-virus:AdWare.Win32.Msnagent.b. No Action Taken.
Wed May 17 23:44:36 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\53C867B6.dll tagged as not-a-virus:AdWare.Win32.SBSoft.h. No Action Taken.
Wed May 17 23:44:36 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\53CC11B2.dll tagged as not-a-virus:AdWare.Win32.SBSoft.h. No Action Taken.
Wed May 17 23:44:36 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\53CC11B2.exe tagged as not-a-virus:AdWare.Win32.Msnagent.b. No Action Taken.
Wed May 17 23:44:36 2006 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\53D265AB.dll tagged as not-a-virus:AdWare.Win32.SBSoft.h. No Action Taken.
Thu May 18 00:27:54 2006 => Total Number of Files Scanned: 120527
Thu May 18 00:27:54 2006 => Total Number of Virus(es) Found: 47
Thu May 18 00:27:54 2006 => Total Number of Disinfected Files: 0
Thu May 18 00:27:54 2006 => Total Number of Files Renamed: 3
Thu May 18 00:27:54 2006 => Total Number of Deleted Files: 34
Thu May 18 00:27:54 2006 => Total Number of Errors: 5
Wed May 17 22:17:07 2006 => Virus Database Date: 2006/05/16
Wed May 17 22:17:07 2006 => Virus Database Count: 194202
Wed May 17 23:10:47 2006 => Virus Database Date: 2006/05/17
Wed May 17 23:10:47 2006 => Virus Database Count: 194566
Thu May 18 00:27:54 2006 => Virus Database Date: 2006/05/17
Thu May 18 00:27:54 2006 => Virus Database Count: 194566
Thu May 18 03:10:20 2006 => Virus Database Date: 2006/05/17
Thu May 18 03:10:20 2006 => Virus Database Count: 194566


Leider ist die 017 immernoch da

Was bemerkenswert ist. So lange ich offline bin, ist die 017 nicht da. Erst wenn ich online gehe, taucht das wieder auf. Also wenn ich die 017 mit HJT entferne und offline bleibe, bleibt 017 auch entfernt und taucht erst wieder auf, wenn ich online gehe.

P.S.: Ich konnte leider nicht mehr in dem ursprünglichen threat posten. Ist wohl schon zu lange her. Weiß auch nicht, wie ich den hier einfügen.
Ich konnte leider nicht mehr in dem ursprünglichen threat posten. Ist wohhl schon zu lange her. Weiß auch nicht, wie ich den hier einfüge.

[Karl]

Hallo,

dein alter Thread ist ins Archiv gewandert, das machen wir wenn längere Zeit nichts mehr passiert. Vielleicht holt ihn jemand wieder ruas und fügt dann alles zusammen, ich denke aber auch daß wir ihn nicht so dringend brauchen. Fangen wir einfach neu an.

Zwei Scans auf Dateien und Prozesse, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

• alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
• nichts am Rechner getan werden

Blacklight scannen lassen

• Lade F-Secure Blacklight runter packe dieDatei in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
• Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
• Klick "I accept the agreement", "next", "Scan".
• Wenn der Scan fertig ist beende Blacklight mit "Close".
• Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

RootkitRevealer scannen lassen

• Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
• Starte in diesem Ordner RootkitReavealer.exe. Alle anderen Programme schließen.
• Starte durch Klick auf "Scan".
• Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun die beiden Logfiles posten.

Gruß, Karl

[Ruby]

P.S.: Ich konnte leider nicht mehr in dem ursprünglichen threat posten. Ist wohl schon zu lange her. Weiß auch nicht, wie ich den hier einfügen. Ich konnte leider nicht mehr in dem ursprünglichen threat posten. Ist wohhl schon zu lange her. Weiß auch nicht, wie ich den hier einfüge.

Du kannst das nicht, Wombat, aber ich Folge bitte Karl's Anleitung.

[wombat115]

Ich kann Blacklight nicht starten. Ich bekomme folgende Meldung.

F-Secure could not aquire necessary privileges (SeDebugPrivelege).

- Your computer may prevent aquiring these privileges.
- A malicious program might have disabled these privileges.

Scheint ja ein böser Russe in Kiev zu sitzen ^^
Gut dass wenigestens einer das kann Ruby

[Ruby]

Hallo Wombat

dass einer den bösen Russen aus der Ukraine von deinem System entfernen kann?
Och, ich glaube, das können wir alle

Was hat denn RootkitRevealer angezeigt? Wir würden gerne das Logfile sehen.