Moin!

Sygate meldete mir dass die Datei "pape.exe", die im Verzeichnis "Dokumente und Einstellungen\Owner\Anwendungsdaten... " liegt, einen externen Rechner kontaktieren möchte. Kann nirgendwo etwas zu "pape.exe" finden.

Seit ein paar Tagen registriere ich Unregelmässigkeiten während einer Internetverbindung. Habe auch die tollen "Nachrichtendienst"-Meldungen, die besagen, das sich Spyware etc. auf meinem Rechner befindet und ich z.B. "nixad.com" oder "patchnow.net" kontaktieren soll...
Dies tritt auf, seitdem ich mich das erste Mal mit eMule verbunden habe.
Zunächst bemerkte ich, dass ich bei einer bestehenden Internetverbindung ständig einen sehr grossen Dateninput hatte, obwohl ich bewusst keine Anwendung laufen liess. Dann kamen die tollen Meldungen.

Habe einen Win XP Rechner ohne bisher irgendein Service Pack installiert zu haben... Gut, verstehe, wenn Ihr mich jetzt verspotten solltet, aber diese ständigen Diskussionen, welches Service Pack installieren und, ob überhaupt...
Letzter Stand war, das eigentlich gar keines nötig sei bzw. dass die SPs nur wieder andere Lücken öffnen...

Any help would be appreciated! Thanx & Guten Rutsch!!!
R!CH

Hallo,
bitte ein Log mit diesem Programm erstellen:

www.Hijackthis.de

Inhalt hier ins Forum posten.


"Letzter Stand war, das eigentlich gar keines nötig sei bzw. dass die SPs nur wieder andere Lücken öffnen..."

Wer sagt das? Das ist Unsinn, genauso wie die auch immer wieder verbreiteten Gerüchte, Microsoft würde mit den SP die Nutzer ausspionieren. Wenn du die SP schon nicht installieren möchtest, dann MUSST du wenigstens die Sicherheitspatches aufspielen, die es auch einzeln gibt. Es ist essentiell, die auf dem Rechner laufende Software auf dem aktuellesten Stand zu halten speziell wenn es um das Betriebssystem oder Internetprogramme geht. Es ist ziemlich wahrscheinlich, dass du nun die Quittung dafür bekommst, dass du dies nicht getan hast...kann man nur draus lernen.

Danke schon mal für Antwort/Kommentar und Tipps, MountainKing!

Was hat es mit "w?nlogon.exe" und "C:\WINDOWS\System32\brkoahvi.dll" aufs ich? Hat mir der Security Task Manager als gefährlich gemeldet...


Hier mein aktuelles Logfile:


Logfile of HijackThis v1.99.0
Scan saved at 11:34:11, on 31.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NVATray.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\w?nlogon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AVGUARD.EXE
C:\Programme\IrfanView\i_view32.exe
C:\Programme\WinAmp\winamp.exe
C:\setups\taskmanager16\TaskMan.exe
C:\setups\hijackthis_199\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\windows\system32\jfunw.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\windows\system32\jfunw.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\windows\system32\jfunw.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7D136CC8-A95D-FBFB-0A43-8ACABDD3CAEE} - C:\WINDOWS\System32\brkoahvi.dll
O2 - BHO: Local Spool Net support DLL - {9527E450-D666-11E3-B8ED-00600938CE5F} - C:\WINDOWS\System32\localsplnet.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: srrsthe - {B02A49D2-DB0D-6421-021A-6C71E7C89404} - C:\WINDOWS\System32\srrsthe.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Ms Spool32] iexplore.exe
O4 - HKLM\..\RunServices: [Sygate Personal Block] Studio.exe
O4 - HKLM\..\RunOnce: [DELDIR0.EXE] "C:\DOKUME~1\Owner\LOKALE~1\Temp\DELDIR0.EXE" "C:\Programme\McAfee\McAfee Shared Components\Guardian\"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ContextUninstall] C:\WINDOWS\STUninstall.exe
O4 - HKCU\..\Run: [Awxepw] C:\WINDOWS\System32\w?nlogon.exe
O4 - HKCU\..\Run: [Sygate Personal Block] Studio.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O15 - Trusted IP range: (HKLM)
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://66.180.174.16//in//1/srv.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.250/win32se.chm::/wintbl32.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {19F4A690-10EE-0F32-CC00-000000000000} - http://65.89.40.111/pripic.com/flkwi1a/a7hh2g.exe
O16 - DPF: {FFFB1D8B-88D6-4C91-BB62-378625E8C73E} ({FFFB1D8B-88D6-4C91-BB62-378625E8C73E}) - http://adult.popup.to/traffic/favorites.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5ADC81E3-9E4B-428C-BD6E-3F1D8C94BFA7}: NameServer = 213.191.74.18 213.191.92.87
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\Smc.exe

@ R!CH

Platform: Windows XP (WinNT 5.01.2600)/MSIE: Internet Explorer v6.00 (6.00.2600.0000) - lade Dir alle Updates und das aktuelle Service Pack SP2 runter und update Deinen IE: www.windowsupdate.com

Es sieht so aus als würde MountainKing recht behalten ...

Besuche diese Seite: eScan, lies Dir die Anweisung gut durch, lade den eScan runter und scanne Deinen Rechner damit offline im abgesicherten Modus. Gib uns das Ergebnis bekannt: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD