Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 28.12.2004, 20:09   #1
duhrja
 
Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben. - Böse

Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben.



Hilfe,

also,will ich Sachen aller Art abspeichern z.B. Bild in Paint, Regedit Datei exportieren, Word Dokument ,einfach fast alles was mit Abspeichern zu tun hat meldet Norton ,dass die .exe programme auf das Internet zugreifen wollen.

Ich denk mir so, solche programme haben doch noch nie aufs Internet zu greifen wollen. Schau ich mir so an, was die Firewall so da anzeigt.

Ein doofes Informations Center aus Südkorea will meinen PC überwachen und ganz viel wissen. Was nun?

Das meldet Norton:
inetnum: 220.64.0.0 - 220.71.255.255
netname: KRNIC-KR
descr: KRNIC
descr: Korea Network Information Center
country: KR
admin-c: HM127-AP
tech-c: HM127-AP
remarks: ******************************************
remarks: KRNIC is the National Internet Registry
remarks: in Korea under APNIC. If you would like to
remarks: find assignment information in detail
remarks: please refer to the KRNIC Whois DB
remarks: http://whois.nic.or.kr/english/index.html
remarks: ******************************************
mnt-by: APNIC-HM
mnt-lower: MNT-KRNIC-AP
changed: hm-changed@apnic.net 20020722
status: ALLOCATED PORTABLE
source: APNIC


% APNIC database, last updated 20041227 23:00:23
und dann noch:
lokale adresse:4950
fpt port:21
remote Adresse:220.67.210.89

Ich will nicht überwacht werden wie bei J ames Bond

Kann mir jemand Tipps geben oder helfen?

Und heir nen bild:
http://people.freenet.de/duhrja/nortonmeldung.jpg

Geändert von duhrja (28.12.2004 um 20:23 Uhr)

Alt 28.12.2004, 22:28   #2
cacatoa
 
Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben. - Standard

Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben.



Mich würde interessieren, was Du alles auf dem Rechner hast...
Poste mal ein HJT Logfile.
cacatoa
__________________

__________________

Alt 29.12.2004, 13:52   #3
duhrja
 
Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben. - Standard

Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben.



Logfile of HijackThis v1.99.0
Scan saved at 14:00:49, on 29.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\System\Norton Personal Firewall\NISUM.EXE
C:\Programme\System\Norton Personal Firewall\ccPxySvc.exe
C:\Programme\System\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Internet\ICQLitea\ICQLite.exe
C:\Programme\Internet\NoPopUp 2003\nopopup.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://minisearch.startnow.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://minisearch.startnow.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer ver. 6.0 pro
R3 - Default URLSearchHook is missing
O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\ATPartners.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Media\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {B580C5D4-290D-4F5D-A992-58C1C46CD886} - C:\WINDOWS\System32\ilg.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\System\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\System\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\Internet\ICQLitea\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\Media\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [NoPopUp] C:\Programme\Internet\NoPopUp 2003\nopopup.exe /autorun
O4 - HKCU\..\Run: [Steam] E:\Valve\Steam\Steam.exe -silent
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with NetPumper - E:\Programme\DownloadTools\NetPumper\AddUrl.htm
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\Internet\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\Internet\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\Internet\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Dokumente und Einstellungen\Administrator\Desktop\VisualRoute\vrie.dll (file missing)
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Dokumente und Einstellungen\Administrator\Desktop\VisualRoute\vrie.dll (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL
O9 - Extra button: 50 FREE MP3s! - {686C970F-1D7D-4469-85D1-4B35763B56CC} - http://www.emusic.com/?fref=149031 (file missing)
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Internet\ICQLitea\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Internet\ICQLitea\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_8742.dll' missing
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/adv112/x.chm::/load.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C2C8FEE-C9AC-4BA2-B7E4-CFC2891A47D2}: NameServer = 217.237.149.225 217.237.151.97
O18 - Filter: text/html - {B59C9893-64C6-40E1-8B84-0AE41F9BCA70} - C:\WINDOWS\System32\ilg.dll
O18 - Filter: text/plain - {B59C9893-64C6-40E1-8B84-0AE41F9BCA70} - C:\WINDOWS\System32\ilg.dll
O21 - SSODL: System - {52CB6B3C-1D75-40EF-BA25-82BE280FC9EC} - C:\WINDOWS\system32\system32.dll
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service - Symantec Corporation - C:\Programme\System\Norton Personal Firewall\ccPxySvc.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\System\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Personal Firewall Accounts Manager - Symantec Corporation - C:\Programme\System\Norton Personal Firewall\NISUM.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\Internet\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: Ulead Burning Helper - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe


so,das war die Savelog
__________________

Alt 29.12.2004, 14:06   #4
cacatoa
 
Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben. - Standard

Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben.



Hi,
du hast jede Menge Zeugs drauf.
Bitte lade Dir als ertes clearprog 1.4.1 final runter und lasse es laufen (alle Häkchen bei IE und Windows machen und auf "löschen clicken")
Dann sind erst mal alle "temp"files weg. Dann bitte neues Logfile posten; es sind dann weniger Dinge zum ausmerzen da.
Bis gleich.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 29.12.2004, 14:08   #5
Shadow
/// Mr. Schatten
 
Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben. - Standard

Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben.



oh oh

schaut nicht schön aus
mache eine automatische Log-Auswertung auf Hijackthis.de und arbeite die vielen roten Einträge ab
Bringe Windows XP auf aktuellen(!) Stand
Dito InternetExplorer (geht eh Hand in Hand)

erstelle ein neues Logfile und melde Dich dann wieder.

__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 29.12.2004, 17:14   #6
duhrja
 
Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben. - Standard

Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben.



Cookies des IE 139 Cookies 40,93 KB
Cache des IE 11883 Dateien 86,56 MB
Verlauf des IE 546 Einträge 256,2 KB
URLs des IE 25 Einträge ------
AutoComplete-Einträge des IE 85 Einträge ------
Papierkorb 83 Dateien 3,930 MB
User-Temp-Verzeichnis 2476 Dateien 681,6 MB
System-Temp-Verzeichnis 408 Dateien 58,49 MB
Ausführen-Einträge im Startmenü 2 Einträge ------
Dokumente im Start-Menü 326 Einträge 192,0 KB
Datei-Liste bei Öffnen/Speichern 325 Einträge ------
Ordner 'Zuletzt verwendet' 54 Einträge 23,41 KB
Datei Such-Liste 28 Einträge ------
Computer Such-Liste 0 Einträge ------
Netzlaufwerk-Liste 1 Eintrag ------
LastKey bei Regedit 1 Eintrag ------
Windows-Zwischenablage ---------- ------
------------------------------------------------------------------------
Gelöschte Anzahl: 16.382 Einträge/Dateien
Gelöschte Datenmenge: 831,1 MB (871.505.130 Byte)

so,das wurde gelöscht.

und hier nun die neue log.
Logfile of HijackThis v1.99.0
Scan saved at 17:22:00, on 29.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Alt 29.12.2004, 17:14   #7
duhrja
 
Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben. - Standard

Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben.



dort gehts weiter

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\System\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Internet\ICQLitea\ICQLite.exe
C:\Programme\ISTsvc\istsvc.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Internet\NoPopUp 2003\nopopup.exe
C:\Programme\System\Norton Personal Firewall\ccPxySvc.exe
C:\Programme\System\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_p...ount_id=143041
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_p...ount_id=143041
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.slotch.com/?&account_id=143041
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://minisearch.startnow.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_p...ount_id=143041
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://minisearch.startnow.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer ver. 6.0 pro
R3 - Default URLSearchHook is missing
O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\ATPartners.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Media\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {B580C5D4-290D-4F5D-A992-58C1C46CD886} - C:\WINDOWS\System32\ilg.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\System\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\System\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\Internet\ICQLitea\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\Media\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [NoPopUp] C:\Programme\Internet\NoPopUp 2003\nopopup.exe /autorun
O4 - HKCU\..\Run: [Steam] E:\Valve\Steam\Steam.exe -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\Internet\ICQLitea\ICQLite.exe -trayboot
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with NetPumper - E:\Programme\DownloadTools\NetPumper\AddUrl.htm
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\Internet\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\Internet\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\Internet\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Dokumente und Einstellungen\Administrator\Desktop\VisualRoute\vrie.dll (file missing)
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Dokumente und Einstellungen\Administrator\Desktop\VisualRoute\vrie.dll (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM32\MSJAVA.DLL
O9 - Extra button: 50 FREE MP3s! - {686C970F-1D7D-4469-85D1-4B35763B56CC} - http://www.emusic.com/?fref=149031 (file missing)
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Internet\ICQLitea\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Internet\ICQLitea\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_8742.dll' missing
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/adv112/x.chm::/load.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C2C8FEE-C9AC-4BA2-B7E4-CFC2891A47D2}: NameServer = 217.237.149.225 217.237.151.97
O18 - Filter: text/html - {B59C9893-64C6-40E1-8B84-0AE41F9BCA70} - C:\WINDOWS\System32\ilg.dll
O18 - Filter: text/plain - {B59C9893-64C6-40E1-8B84-0AE41F9BCA70} - C:\WINDOWS\System32\ilg.dll
O21 - SSODL: System - {52CB6B3C-1D75-40EF-BA25-82BE280FC9EC} - C:\WINDOWS\system32\system32.dll
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service - Symantec Corporation - C:\Programme\System\Norton Personal Firewall\ccPxySvc.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\System\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Personal Firewall Accounts Manager - Symantec Corporation - C:\Programme\System\Norton Personal Firewall\NISUM.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\Internet\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: Ulead Burning Helper - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

Für Service Pack2 hab ich keine Platz udn hab auch gründe waru ich das nicht drauf haben wil als gamer.

Alt 29.12.2004, 17:18   #8
duhrja
 
Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben. - Standard

Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben.



wenn ich den IE6 installieren will kommt nen fehler.

Alt 29.12.2004, 17:21   #9
Lucky
/// Helfer-Team
 
Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben. - Standard

Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben.



Wenn ich ganz ehrlich bin, bei dem verseuchten Log, würde ich den Rechnen formatieren und Windows neu aufsetzen.

- björn
__________________
Kein Support per PM!

Alt 29.12.2004, 18:39   #10
cacatoa
 
Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben. - Standard

Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben.



@ lucky: warum?

Ich würde erst mal LSPFix runterladen, das Prog laufen lassen und den "xfire"-Eintrag nach rechts auf "remove"ziehen.
Dann folgende Dateien bei Jotti online scannen:
C:\WINDOWS\System32\ilg.dll
C:\WINDOWS\System32\ilg.dll
Berichte über das Ergebnis, bevor du folgendermaßen fortfährst:

Dann im abgesicherten Modus bei deaktivierter Systemwiederherstellung folgendes mit HJT fixen:
C:\Programme\ISTsvc\istsvc.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_...count_id=143041
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_...count_id=143041
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.slotch.com/?&account_id=143041
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://minisearch.startnow.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_...count_id=143041
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://minisearch.startnow.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\System32\ATPartners.dll
O2 - BHO: (no name) - {B580C5D4-290D-4F5D-A992-58C1C46CD886} - C:\WINDOWS\System32\ilg.dll (file missing)
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Dokumente und Einstellungen\Administrator\Desktop\VisualRoute\vr ie.dll (file missing)
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Dokumente und Einstellungen\Administrator\Desktop\VisualRoute\vr ie.dll (file missing)
O9 - Extra button: 50 FREE MP3s! - {686C970F-1D7D-4469-85D1-4B35763B56CC} - http://www.emusic.com/?fref=149031 (file missing)
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/adv112/x.chm::/load. exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe
O21 - SSODL: System - {52CB6B3C-1D75-40EF-BA25-82BE280FC9EC} -

Dann folgende Dateien manuell löschen:
C:\Programme\ISTsvc\istsvc.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
C:\WINDOWS\SYSTEM\blank.htm
C:\WINDOWS\System32\ATPartners.dll
C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe
C:\WINDOWS\system32\system32.dll

Dann neu booten und Systemwiederherstellung aktivieren
Dann neues Logfile posten.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 29.12.2004, 19:03   #11
Lucky
/// Helfer-Team
 
Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben. - Standard

Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben.



Warum?
Weil du selbst nach einer Säuberungsaktion nicht mehr sicher sein kannst ob das System nun sauber ist oder nicht. Es ist kompromittiert(schreibt man das so?) und müsste daher komplett neu gemacht werden um auszuschliessen das noch irgendwelche Malware drauf ist oder Dateien geändert etc.

- björn
__________________
Kein Support per PM!

Alt 29.12.2004, 19:27   #12
cacatoa
 
Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben. - Standard

Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben.



@ lucky
aber das ist doch alles Kleinzeug, welches nicht wirklich zur Kompromittierung führt (außer die C:\WINDOWS\System32\ilg.dll ist was wirklich böses )
Aber ich lasse mich gerne eines besseren belehren.
Gruß cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 29.12.2004, 19:53   #13
Lucky
/// Helfer-Team
 
Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben. - Standard

Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben.



Weißt du was die Exe Datei macht, die ueber die Hilfedatei aufgerufen wurde?
Genau da liegt der Haken, mag zwar nach wenig aussehen, aber weißt du es wirklich zu hunderprozent?
Ich würde mich an kein System setzen wo ich nicht hundertpro weiß das es sauber ist.

- björn
__________________
Kein Support per PM!

Alt 29.12.2004, 20:04   #14
cacatoa
 
Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben. - Standard

Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben.



@ Lucky
Gebe mich geschlagen Allerdings müßten dann mindestens 70 % der Besucher on Board neu afsetzen..
LG cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 30.12.2004, 17:15   #15
duhrja
 
Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben. - Standard

Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben.



Thx, nee, festplatte kann und darf ich nicht formatieren, also danke werde ich mal alles ausprobieren.

Eigntlich Frage an Profis:

Ist Service Pack 2notwenidg? Systemstablitätseinbuße.

Antwort

Themen zu Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben.
.exe, adresse, bild, center, datei, dokument, einfach, email, firewall, helfen, heulen, hilfe, infos, interne, internet, melde, meldet, national, network, norton, please, programme, regedit, sache, sachen, speicher, speichern, tipps, updated, will nicht



Ähnliche Themen: Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben.


  1. kann beim Download nicht auf Datei ausführen sondern immer nur auf speichern, gehen.
    Log-Analyse und Auswertung - 23.10.2015 (5)
  2. BKA Trojaner - Infos
    Plagegeister aller Art und deren Bekämpfung - 17.03.2015 (1)
  3. PC langsam. Internet langsam. Beim Start öffnen sich unseriöse Sachen.
    Plagegeister aller Art und deren Bekämpfung - 26.12.2014 (7)
  4. Pc geht aus,beim speichern von datein oder laden,fuhr erst hoch, jetz geht er beim hochfahren aus
    Log-Analyse und Auswertung - 29.09.2010 (2)
  5. Ordneroption speichern
    Alles rund um Windows - 18.12.2008 (7)
  6. Ordneroption speichern
    Mülltonne - 13.11.2008 (0)
  7. Windowsupd.exe Infos?
    Plagegeister aller Art und deren Bekämpfung - 26.09.2008 (0)
  8. Interneteinstellungen speichern...
    Mülltonne - 01.09.2008 (0)
  9. Hijackthis speichern
    Antiviren-, Firewall- und andere Schutzprogramme - 13.01.2007 (5)
  10. Gifs auf Pc speichern!!!
    Alles rund um Windows - 21.05.2006 (4)
  11. passwörter speichern
    Überwachung, Datenschutz und Spam - 09.12.2005 (4)
  12. Internetradio speichern
    Alles rund um Windows - 19.02.2005 (4)
  13. beim speichern des Logfile von HJT Trojaner Alarm
    Plagegeister aller Art und deren Bekämpfung - 02.02.2005 (1)
  14. TR/Zapchast Infos?
    Plagegeister aller Art und deren Bekämpfung - 22.12.2004 (1)
  15. Virus Warnung von AntiVir beim Speichern eines hijackthis logfiles!
    Log-Analyse und Auswertung - 13.12.2004 (7)
  16. Windows Infos
    Alles rund um Windows - 13.06.2003 (1)

Zum Thema Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben. - Hilfe, also,will ich Sachen aller Art abspeichern z.B. Bild in Paint, Regedit Datei exportieren, Word Dokument ,einfach fast alles was mit Abspeichern zu tun hat meldet Norton ,dass die .exe - Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben....
Archiv
Du betrachtest: Beim Speichern von Sachen,Koreanisches Infocenter will Infos haben. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.