Wer hat Plan und riskiert mal nen Blick??

Psychowski · 21.06.2004, 17:44

Hallo, ich versuchs jetzt mal auf diesem Wege, und hoffe ein bisschen weiter zu kommen. Ich hab einige Progs und Scanner schon probiert, aber z.B. meine Startseite bleibt hartnäckig, System wird immer langsamer, Fehlermeldung "monitor.exe" fehlt...

Ich poste jetzt hier mal mein "HijackThis" logfile, und hoffe auf interessante und hilfreiche reaktionen

)

Logfile of HijackThis v1.97.7
Scan saved at 18:35:04, on 21.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\crzb32.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\T-DSL Business\BOLog.exe
C:\Program Files\Altnet\Points Manager\Points Manager.exe
C:\WINDOWS\system32\winfp32.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\DeTeWe\OpenCom 30\Capictrl.exe
C:\Programme\ORiNOCO\Client Manager\CMLUC.EXE
C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
c:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE
C:\Dokumente und Einstellungen\Lukas\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\strgy.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://strgy.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://strgy.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\strgy.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://strgy.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\strgy.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = nbsserv:8080
F0 - system.ini: Shell=Explorer.exe monitor.exe
F2 - REG:system.ini: Shell=Explorer.exe monitor.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {16B1C426-DECE-9941-ED8F-0DD52B41F242} - C:\WINDOWS\winvg.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\OpenCom 30\routcnf.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [BusinessOnline Log] "C:\Programme\T-DSL Business\BOLog.exe"
O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s
O4 - HKLM\..\Run: [winfp32.exe] C:\WINDOWS\system32\winfp32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [Spyware Begone] c:\programme\freescan\freescan.exe -FastScan
O4 - HKCU\..\Run: [monitor] Explorer.exe monitor.exe
O4 - HKLM\..\RunOnce: [ntoq32.exe] C:\WINDOWS\system32\ntoq32.exe
O4 - HKLM\..\RunOnce: [crzb32.exe] C:\WINDOWS\system32\crzb32.exe
O4 - HKLM\..\RunOnce: [msby32.exe] C:\WINDOWS\system32\msby32.exe
O4 - HKLM\..\RunOnce: [apphj32.exe] C:\WINDOWS\system32\apphj32.exe
O4 - HKLM\..\RunOnce: [addrf.exe] C:\WINDOWS\system32\addrf.exe
O4 - HKLM\..\RunOnce: [sdkyi.exe] C:\WINDOWS\sdkyi.exe
O4 - HKLM\..\RunOnce: [msqr32.exe] C:\WINDOWS\system32\msqr32.exe
O4 - HKLM\..\RunOnce: [crfe.exe] C:\WINDOWS\crfe.exe
O4 - HKLM\..\RunOnce: [mfcom.exe] C:\WINDOWS\mfcom.exe
O4 - HKLM\..\RunOnce: [netpz32.exe] C:\WINDOWS\system32\netpz32.exe
O4 - HKLM\..\RunOnce: [winoh32.exe] C:\WINDOWS\system32\winoh32.exe
O4 - HKLM\..\RunOnce: [winqp32.exe] C:\WINDOWS\winqp32.exe
O4 - HKLM\..\RunOnce: [ievu.exe] C:\WINDOWS\system32\ievu.exe
O4 - HKLM\..\RunOnce: [sysar.exe] C:\WINDOWS\system32\sysar.exe
O4 - HKLM\..\RunOnce: [ntka32.exe] C:\WINDOWS\system32\ntka32.exe
O4 - HKLM\..\RunOnce: [apitb32.exe] C:\WINDOWS\apitb32.exe
O4 - HKLM\..\RunOnce: [ntjj.exe] C:\WINDOWS\ntjj.exe
O4 - HKLM\..\RunOnce: [atlof.exe] C:\WINDOWS\system32\atlof.exe
O4 - HKLM\..\RunOnce: [syssz32.exe] C:\WINDOWS\syssz32.exe
O4 - HKLM\..\RunOnce: [addbd32.exe] C:\WINDOWS\system32\addbd32.exe
O4 - HKLM\..\RunOnce: [sysah.exe] C:\WINDOWS\system32\sysah.exe
O4 - HKLM\..\RunOnce: [javass32.exe] C:\WINDOWS\system32\javass32.exe
O4 - HKLM\..\RunOnce: [sysmz.exe] C:\WINDOWS\sysmz.exe
O4 - HKLM\..\RunOnce: [mfcft.exe] C:\WINDOWS\system32\mfcft.exe
O4 - HKLM\..\RunOnce: [ipcn.exe] C:\WINDOWS\ipcn.exe
O4 - HKLM\..\RunOnce: [apiwa.exe] C:\WINDOWS\apiwa.exe
O4 - HKLM\..\RunOnce: [mfcxl.exe] C:\WINDOWS\mfcxl.exe
O4 - HKLM\..\RunOnce: [d3pk.exe] C:\WINDOWS\system32\d3pk.exe
O4 - HKLM\..\RunOnce: [d3mf32.exe] C:\WINDOWS\d3mf32.exe
O4 - HKLM\..\RunOnce: [adduu.exe] C:\WINDOWS\adduu.exe
O4 - HKLM\..\RunOnce: [ntij32.exe] C:\WINDOWS\system32\ntij32.exe
O4 - HKLM\..\RunOnce: [ipup.exe] C:\WINDOWS\ipup.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe
O4 - Global Startup: ORiNOCO Client Manager.lnk = ?
O4 - Global Startup: Telefonverbindungsmonitor.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O13 - DefaultPrefix:
O13 - WWW Prefix:
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemp...veSecurity.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...7690.392974537
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab

Shadow · 21.06.2004, 18:01

ein Blick riskiert und ich wende mich mit Grausem ab...
was glaubst Du könnte "RunOnce" bedeuten?
Sammelst Du das?

RunOnce ist eigentlich für Programme die sich nach/mit einem Neustart fertig installieren.

Nutzt auch malware, damit es jedesmal wieder kommt selbst wenn du die bestehende Malware löschst. Beim Neustart wird sie neu installiert.

3 Möglichkeit:

- Neuinstallation
- alle runonce ungesehen fixen
- für alle runonce erst mal google und dann löschen

aber mir ist es zu blöd alles durchzuschauen, dein System ist ziemlich Müll
(auch die R0 und R1)

O2 - BHO: (no name) - {16B1C426-DECE-9941-ED8F-0DD52B41F242} - C:\WINDOWS\winvg.dll

F0 und F2, was ist das für ein Monitor.exe?

docprantl · 21.06.2004, 18:04

Mal schauen...
<blockquote>Zitat:<hr />C:\WINDOWS\system32\crzb32.exe[/QUOTE]sehr verdächtig
<blockquote>Zitat:<hr />C:\Program Files\Altnet\Points Manager\Points Manager.exe[/QUOTE]Spyware
<blockquote>Zitat:<hr />C:\WINDOWS\system32\winfp32.exe[/QUOTE]verdächtig
<blockquote>Zitat:<hr />C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe[/QUOTE]Spyware
<blockquote>Zitat:<hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\strgy.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://strgy.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://strgy.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\strgy.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://strgy.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\strgy.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = nbsserv:8080[/QUOTE]Spyware
<blockquote>Zitat:<hr />F0 - system.ini: Shell=Explorer.exe monitor.exe
F2 - REG:system.ini: Shell=Explorer.exe monitor.exe[/QUOTE]Malware
<blockquote>Zitat:<hr />O2 - BHO: (no name) - {16B1C426-DECE-9941-ED8F-0DD52B41F242} - C:\WINDOWS\winvg.dll
[/QUOTE]verdächtig/Spyware
<blockquote>Zitat:<hr />
O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s [/QUOTE]Spyware
<blockquote>Zitat:<hr />O4 - HKLM\..\Run: [winfp32.exe] C:\WINDOWS\system32\winfp32.exe[/QUOTE]verdächtig
<blockquote>Zitat:<hr />O4 - HKCU\..\Run: [monitor] Explorer.exe monitor.exe[/QUOTE]Malware
<blockquote>Zitat:<hr />O4 - HKLM\..\RunOnce: [ntoq32.exe] C:\WINDOWS\system32\ntoq32.exe
O4 - HKLM\..\RunOnce: [crzb32.exe] C:\WINDOWS\system32\crzb32.exe
O4 - HKLM\..\RunOnce: [msby32.exe] C:\WINDOWS\system32\msby32.exe
O4 - HKLM\..\RunOnce: [apphj32.exe] C:\WINDOWS\system32\apphj32.exe
O4 - HKLM\..\RunOnce: [addrf.exe] C:\WINDOWS\system32\addrf.exe
O4 - HKLM\..\RunOnce: [sdkyi.exe] C:\WINDOWS\sdkyi.exe
O4 - HKLM\..\RunOnce: [msqr32.exe] C:\WINDOWS\system32\msqr32.exe
O4 - HKLM\..\RunOnce: [crfe.exe] C:\WINDOWS\crfe.exe
O4 - HKLM\..\RunOnce: [mfcom.exe] C:\WINDOWS\mfcom.exe
O4 - HKLM\..\RunOnce: [netpz32.exe] C:\WINDOWS\system32\netpz32.exe
O4 - HKLM\..\RunOnce: [winoh32.exe] C:\WINDOWS\system32\winoh32.exe
O4 - HKLM\..\RunOnce: [winqp32.exe] C:\WINDOWS\winqp32.exe
O4 - HKLM\..\RunOnce: [ievu.exe] C:\WINDOWS\system32\ievu.exe
O4 - HKLM\..\RunOnce: [sysar.exe] C:\WINDOWS\system32\sysar.exe
O4 - HKLM\..\RunOnce: [ntka32.exe] C:\WINDOWS\system32\ntka32.exe
O4 - HKLM\..\RunOnce: [apitb32.exe] C:\WINDOWS\apitb32.exe
O4 - HKLM\..\RunOnce: [ntjj.exe] C:\WINDOWS\ntjj.exe
O4 - HKLM\..\RunOnce: [atlof.exe] C:\WINDOWS\system32\atlof.exe
O4 - HKLM\..\RunOnce: [syssz32.exe] C:\WINDOWS\syssz32.exe
O4 - HKLM\..\RunOnce: [addbd32.exe] C:\WINDOWS\system32\addbd32.exe
O4 - HKLM\..\RunOnce: [sysah.exe] C:\WINDOWS\system32\sysah.exe
O4 - HKLM\..\RunOnce: [javass32.exe] C:\WINDOWS\system32\javass32.exe
O4 - HKLM\..\RunOnce: [sysmz.exe] C:\WINDOWS\sysmz.exe
O4 - HKLM\..\RunOnce: [mfcft.exe] C:\WINDOWS\system32\mfcft.exe
O4 - HKLM\..\RunOnce: [ipcn.exe] C:\WINDOWS\ipcn.exe
O4 - HKLM\..\RunOnce: [apiwa.exe] C:\WINDOWS\apiwa.exe
O4 - HKLM\..\RunOnce: [mfcxl.exe] C:\WINDOWS\mfcxl.exe
O4 - HKLM\..\RunOnce: [d3pk.exe] C:\WINDOWS\system32\d3pk.exe
O4 - HKLM\..\RunOnce: [d3mf32.exe] C:\WINDOWS\d3mf32.exe
O4 - HKLM\..\RunOnce: [adduu.exe] C:\WINDOWS\adduu.exe
O4 - HKLM\..\RunOnce: [ntij32.exe] C:\WINDOWS\system32\ntij32.exe
O4 - HKLM\..\RunOnce: [ipup.exe] C:\WINDOWS\ipup.exe[/QUOTE]sehr verdächtig
<blockquote>Zitat:<hr />O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - [/QUOTE]Spyware
<blockquote>Zitat:<hr />O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemp...veSecurity.cab [/QUOTE]verdächtig

Dein Rechner ist derart verwanzt, daß sich eine Reparatur eigentlich nicht lohnt. Er sollte neu aufgesetzt werden. Bitte schick die "verdächtig"en Dateien zwecks genauerer Analyse an virus@rokop-security.de.

ciao
docprantl

Psychowski · 21.06.2004, 18:05

Da fällt mir noch ein Symptom ein:
Wenn ich früher im IE "google.de" eingegeben habe, dann hat der IE den Rest "http://www." ergänzt. Vor einer Woche musste ich dann schon "www.google.de" eingeben, sonst bin ich bei dieser besch... suchseite gelandet. Mitlerweile muss ich sogar "http://" davorschreiben damit es überhaupt noch funktioniert.

Ich bin gespannt, was als nächstes kommt

Vielleicht muss ich dann immer direkt die IPs eingeben...

S.O.D · 21.06.2004, 18:37

booaaa - da schaut es aber echt übel aus - würde sagen volltreffer. [img]graemlins/headbang.gif[/img]

mmk · 21.06.2004, 19:16

Hallo Lukas,

tut mir leid, aber ich würde formatieren, das System neu aufsetzen und dann die Passwörter / Zugangsdaten ändern. Damit fährst du persönlich am sichersten.

http://www.mathematik.uni-marburg.de...ompromise.html

Psychowski · 22.06.2004, 16:25

Aaalso: erstmal vielen Dank für die ehrlichen Einschätzungen

Voller Freude kann ich nun verkünden, dass ich seit 2 Stunden und seit mehrmaligem Booten Nichts Bösartiges mehr hat blicken lassen!!!

Meine Startseite läuft wieder normal, die Adressergänzung ebenfalls...

Ich hab zusätzlich zu den schon genannten Progs noch easycleaner 2.0 benutzt, Und natürlich die strgy.dll gelöscht.

Naja, wie auch immer, ich hoffe, dass ich die Sache jetzt im Griff habe, und kann allen anderen Betroffenen nur raten, sich mal nen Tag Zeit zu nehmen und mit allen Progs dauerfeuer zu schiessen....

Psychowski · 22.06.2004, 16:31

Zum Abschluss noch mal ein log, falls jemand noch was UNHEIMLICHES sieht... bitte, bitte...

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\T-DSL Business\BOLog.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Dokumente und Einstellungen\Lukas\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sg33k.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = nbsserv:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BusinessOnline Log] "C:\Programme\T-DSL Business\BOLog.exe"
O4 - HKLM\..\Run: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [Ad-watch] "C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

design-willy · 22.06.2004, 16:54

Hallo
Psychowski

ich hoffe Dein System ist immer noch fehlerfrei.
Wirf doch zur Sicherheit einen Blick unter Systemsteuerung > Verwaltung > Dienste und suche nach Network Serurity Service oder NS_2 bzw. NS_3.
Solltes Du hier einen Eintrag haben über klick re Eigenschaften deaktvieren und schau Dir den Pfad an der dort eingertragen ist.
Gruss Willy

Psychowski · 22.06.2004, 18:11

Hallo Design Willy,

ja, ich hab nen Eintrag gefunden. (Network Security Service). Hab den "Starttyp" auf "deaktiviert" gesetzt.

Der Pfad ist: C:\WINDOWS\system32\crzb32.exe /s

Soll ich diese Datei löschen??

Danke und Gruß, Psychowski

Olo · 22.06.2004, 18:18

ja pfad und datei löschen
der dienst sollte ja deaktiviert sein

Psychowski · 22.06.2004, 18:27

hmm, die Datei "C:\WINDOWS\system32\crzb32.exe" existiert nicht...
kann es vielleicht sein, dass ich die bei einem der unzähligen Scans schon erwischt habe?? Ich hab die Logfiles nicht alle gespeichert...

Olo · 22.06.2004, 18:29

<blockquote>Zitat:<hr />hmm, die Datei "C:\WINDOWS\system32\crzb32.exe" existiert nicht...
kann es vielleicht sein, dass ich die bei einem der unzähligen Scans schon erwischt habe?? Ich hab die Logfiles nicht alle gespeichert... [/QUOTE]gut möglich
lass den diesnst deaktiviert
aber sollte weg sein

Psychowski · 22.06.2004, 18:30

dafür hab ich aber folgende Datei gefunden:

C:\Windows\Prefetch\CRZB32.EXE-28E24D5E.pf

kommt mir irgendwie spanisch vor...

Olo · 22.06.2004, 18:38

<blockquote>Zitat:<hr />CRZB32.EXE [/QUOTE]das ists doch

wech damit

Wer hat Plan und riskiert mal nen Blick??

Log-Analyse und Auswertung: Wer hat Plan und riskiert mal nen Blick??