Virus eingefangen?

[orange]

also gut, werde mich aber erst nach 19:00 mit der Sache befassen können und euch berichten was dabei herauskam.
Danke vorerst für eure Stellungnahme

[Sesa_Mina]

Probier mal folgendes.. (mit google gefunden...)
Trifft wahrscheinlich nicht alles zu (weil anderes hijackthis log) aber ich denke du wirst einiges davon auf dem system finden.

--------------------

Now, boot your computer into Safe Mode.

Enter the control panel by clicking on the Start menu, then clicking on Run.

Now type control in the Open field and press the OK button.

Double-click on the Add/Remove Programs icon.

Look for and uninstall the following entries if found in the Add/Remove Programs window. Do not reboot if prompted untill all of the below programs are uninstalled.

Active alert
ISTsvc
Internet Optimizer
Search Extender
Shopping Wizard
Sidefind
Slotchbar
The Bullseye Network
Uninstall 180searchassistant
Webrebates
Win AdTools

It may prompt about whether or not you are sure you want to remove this program. Always read it carefully and choose the option that states you want to remove all components of this program.

Navigate to the c:\hijackthis directory and double-click on HijackThis

When the program starts, double-click on the HijackThis icon and then click on the Scan button.

Put a checkmark next to the following entries if they exist:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.buldog-search.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gigasearch.biz/?209
R3 - URLSearchHook: GStartBHO Class - {EADD3112-0CF8-444b-AC0F-EBA38E004554} - C:\WINDOWS\Downloaded Program Files\giga32.dll

O1 - Hosts: 69.50.188.82 askjeeves.com
O1 - Hosts: 69.50.188.82 www.askjeeves.com
O1 - Hosts: 69.50.188.82 www.directhit.com
O1 - Hosts: 69.50.188.82 directhit.com
O1 - Hosts: 69.50.188.82 www.excite.com
O1 - Hosts: 69.50.188.82 excite.com
O1 - Hosts: 69.50.188.82 www.alltheweb.com
O1 - Hosts: 69.50.188.82 go.com
O1 - Hosts: 69.50.188.82 www.go.com
O1 - Hosts: 69.50.188.82 goto.com
O1 - Hosts: 69.50.188.82 www.goto.com
O1 - Hosts: 69.50.188.82 lycos.com
O1 - Hosts: 69.50.188.82 dmoz.org

O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: GStartBHO Class - {EADD3112-0CF8-444b-AC0F-EBA38E004554} - C:\WINDOWS\Downloaded Program Files\giga32.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O4 - HKLM\..\Run: [tgf] C:\WINDOWS\tgf.exe

O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://download.35mb.com/images/dlapplet.cab
O16 - DPF: {D03A1C33-1913-4533-A8C1-F2C8D13045DE} - http://www.cjb.net/search.cab

Because XP will not always show you hidden files and folders by default.
Reset your search settings first.

Go to Start>Search and at the top select Tools>Folder Options
Select the View tab
Display the contents of system folders
Show hidden files and folders
Uncheck: Hide protected operating system files
Click on Apply.
Next go to the side of the Search box and select All files and folders. Go down to More advanced options.
Be sure the first three boxes are selected:
Search System folders
Search Hidden Files and folders
Search SubFolders


Find and delete these files/folders:

C:\WINDOWS\system32\mshtm.exe
C:\Program Files\Windows AdTools.......................folder
C:\Program Files\BullsEye Network ........................folder
C:\Program Files\Web_Rebates .....................folder
C:\WINDOWS\tgf.exe

Now, before you reboot normally:
Open Window Explorer.
Browse to the C:\documents and settings\\User Name (repeat for all users)\local settings\temp folder and delete all files and folders in it.
Then browse to the C:\Windows\Temp folder and delete all files in it.
Then in internet explorer click tools>internet Options>General. Click on Delete Files make sure you get all offline content as well.

Empty Recycle Bin and reboot your computer normally.


Run both of these online virus scans:

http://housecall.antivirus.com/
http://www.pandasoftware.com/activescan/

Reboot.

[orange]

**** Run Keys ****



**** Browser Helper Objects ****

BHO: [] C:\WINDOWS\QUESTMOD.DLL


**** IE Toolbars ****



**** IE Extensions ****



**** Hosts File Entries ****



**** IE Settings ****

Local Page: C:\WINDOWS\SYSTEM\blank.htm


**** IE Context Menu (Right click) ****



**** Layered Service Providers ****

LSP: MS.w95.spi.tcp
LSP: MS.w95.spi.udp
LSP: MS.w95.spi.rsvptcp
LSP: MS.w95.spi.rsvpudp


**** Blocked Control Panel Items ****

BLOCKED: []


**** Downloaded Program Files ****

Microsoft XML Parser for Java [file://C:\WINDOWS\Java\classes\xmldso4.cab]
DirectAnimation Java Classes [file://C:\WINDOWS\SYSTEM\dajava.cab]
Internet Explorer Classes for Java [file://C:\WINDOWS\SYSTEM\iejava.cab]
Internet Explorer Classes for Java [file://C:\WINDOWS\SYSTEM\iejava.cab]
Internet Explorer Classes for Java [file://C:\WINDOWS\SYSTEM\iejava.cab]
Internet Explorer Classes for Java [file://C:\WINDOWS\SYSTEM\iejava.cab]
Internet Explorer Classes for Java [file://C:\WINDOWS\SYSTEM\iejava.cab]
Internet Explorer Classes for Java [file://C:\WINDOWS\SYSTEM\iejava.cab]
Internet Explorer Classes for Java [file://C:\WINDOWS\SYSTEM\iejava.cab]


**** Custom IE Search Items ****

SEARCH: [SearchAssistant] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm


Das habe ich zuletzt auf dem Bildschirm bekommen.

[orange]

und das kam vor ein paar minuten mit dem Antivir Personal Edition

C:\WINDOWS
WIN386.SWP
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
questmod.dll
[FUND!] Ist das Trojanische Pferd TR/Dialer.BI
WURDE GELÖSCHT!
C:\WINDOWS\TEMP
JET6E4F.TMP
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\Anwendungsdaten\Spybot - Search & Destroy\Recovery
TIBS.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
C:\Programme\AVPersonal\INFECTED
125314.VIR
[FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/300797 (Dialer)
WURDE GELÖSCHT!
C:\Programme\WebSiteViewer
125314.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.JZ.4
WURDE GELÖSCHT!
C:\Eigene Dateien\Meine Videos\Hurricandemo
Hurrican.dat
ArchiveType: RAR
HINWEIS! Das gesamte Archiv ist passwortgeschützt

Ende des Suchlaufs: Montag, 13. Dezember 2004 20:28
Benötigte Zeit: 14:32 min


2018 Verzeichnisse wurden durchsucht
53950 Dateien wurden geprüft
2 Warnungen wurden ausgegeben
3 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Viren bzw. unerwünschte Programme wurden gefunden

[bully]

Also, der dürftige Ausschnitt der Log-Datei von HijackThis sagt zwar wenig, du bist aber zweifellos das Opfer des dialer_bi Trojaners, Entfernung laut folgender Anleitung:

http://www.pestpatrol.com/PestInfo/t..._dialer_bi.asp

Ich vermute aber noch mehr Mist auf deiner Platte, kannst nicht den gesamten LOG von Hijack posten ?

lg
bully

[orange]

der antivir hat doch aber nur diese 3 Trojaner aufgespürt?

[bully]

Wenn du hijack ausführst, gleich nach dem Scan, drückst auf Save Log (links unten) und kannst dann den Output als Textdatei speichern. Den Inhalt dieser Textdatei würde ich gerne sehen. Was Antivir anzeigt oder auch nicht anzeigt, wage ich so nicht zu beurteilen, vor allem kriegst du die Geschichte nicht sauber, wie du ja schon bemerkt hast.

lg
bully

[orange]

@bully

blöde Frage, würde das hier nicht zu viel Platz wegnehmen. Ich glaube das wären einige Seiten

[bully]

Okay, das bestätigt meinen Verdacht, dass noch viel mehr Mist auf deiner Platte ist. Also schlag ich dir vor, schick mir eine pm, wo du die Textdatei einfügst, muss ich mich halt durch die paar Seiten quälen, und ich schicke dir ein paar Tipps zurück.

lg
bully

[fredl]

Zitat:

Original geschrieben von orange
@bully

blöde Frage, würde das hier nicht zu viel Platz wegnehmen. Ich glaube das wären einige Seiten

nein, is nicht soviel, ca. 1,5 17zoll bildschirme