|
Log-Analyse und Auswertung: Wer hat Plan und riskiert mal nen Blick??Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
21.06.2004, 17:44 | #1 |
| Wer hat Plan und riskiert mal nen Blick?? Hallo, ich versuchs jetzt mal auf diesem Wege, und hoffe ein bisschen weiter zu kommen. Ich hab einige Progs und Scanner schon probiert, aber z.B. meine Startseite bleibt hartnäckig, System wird immer langsamer, Fehlermeldung "monitor.exe" fehlt... Ich poste jetzt hier mal mein "HijackThis" logfile, und hoffe auf interessante und hilfreiche reaktionen ) Logfile of HijackThis v1.97.7 Scan saved at 18:35:04, on 21.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\crzb32.exe C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\Explorer.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\T-DSL Business\BOLog.exe C:\Program Files\Altnet\Points Manager\Points Manager.exe C:\WINDOWS\system32\winfp32.exe C:\Programme\Messenger\MSMSGS.EXE C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\DeTeWe\OpenCom 30\Capictrl.exe C:\Programme\ORiNOCO\Client Manager\CMLUC.EXE C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE c:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE C:\Dokumente und Einstellungen\Lukas\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\strgy.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://strgy.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://strgy.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\strgy.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://strgy.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\strgy.dll/sp.html#96676 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = nbsserv:8080 F0 - system.ini: Shell=Explorer.exe monitor.exe F2 - REG:system.ini: Shell=Explorer.exe monitor.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {16B1C426-DECE-9941-ED8F-0DD52B41F242} - C:\WINDOWS\winvg.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\OpenCom 30\routcnf.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [BusinessOnline Log] "C:\Programme\T-DSL Business\BOLog.exe" O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s O4 - HKLM\..\Run: [winfp32.exe] C:\WINDOWS\system32\winfp32.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [Spyware Begone] c:\programme\freescan\freescan.exe -FastScan O4 - HKCU\..\Run: [monitor] Explorer.exe monitor.exe O4 - HKLM\..\RunOnce: [ntoq32.exe] C:\WINDOWS\system32\ntoq32.exe O4 - HKLM\..\RunOnce: [crzb32.exe] C:\WINDOWS\system32\crzb32.exe O4 - HKLM\..\RunOnce: [msby32.exe] C:\WINDOWS\system32\msby32.exe O4 - HKLM\..\RunOnce: [apphj32.exe] C:\WINDOWS\system32\apphj32.exe O4 - HKLM\..\RunOnce: [addrf.exe] C:\WINDOWS\system32\addrf.exe O4 - HKLM\..\RunOnce: [sdkyi.exe] C:\WINDOWS\sdkyi.exe O4 - HKLM\..\RunOnce: [msqr32.exe] C:\WINDOWS\system32\msqr32.exe O4 - HKLM\..\RunOnce: [crfe.exe] C:\WINDOWS\crfe.exe O4 - HKLM\..\RunOnce: [mfcom.exe] C:\WINDOWS\mfcom.exe O4 - HKLM\..\RunOnce: [netpz32.exe] C:\WINDOWS\system32\netpz32.exe O4 - HKLM\..\RunOnce: [winoh32.exe] C:\WINDOWS\system32\winoh32.exe O4 - HKLM\..\RunOnce: [winqp32.exe] C:\WINDOWS\winqp32.exe O4 - HKLM\..\RunOnce: [ievu.exe] C:\WINDOWS\system32\ievu.exe O4 - HKLM\..\RunOnce: [sysar.exe] C:\WINDOWS\system32\sysar.exe O4 - HKLM\..\RunOnce: [ntka32.exe] C:\WINDOWS\system32\ntka32.exe O4 - HKLM\..\RunOnce: [apitb32.exe] C:\WINDOWS\apitb32.exe O4 - HKLM\..\RunOnce: [ntjj.exe] C:\WINDOWS\ntjj.exe O4 - HKLM\..\RunOnce: [atlof.exe] C:\WINDOWS\system32\atlof.exe O4 - HKLM\..\RunOnce: [syssz32.exe] C:\WINDOWS\syssz32.exe O4 - HKLM\..\RunOnce: [addbd32.exe] C:\WINDOWS\system32\addbd32.exe O4 - HKLM\..\RunOnce: [sysah.exe] C:\WINDOWS\system32\sysah.exe O4 - HKLM\..\RunOnce: [javass32.exe] C:\WINDOWS\system32\javass32.exe O4 - HKLM\..\RunOnce: [sysmz.exe] C:\WINDOWS\sysmz.exe O4 - HKLM\..\RunOnce: [mfcft.exe] C:\WINDOWS\system32\mfcft.exe O4 - HKLM\..\RunOnce: [ipcn.exe] C:\WINDOWS\ipcn.exe O4 - HKLM\..\RunOnce: [apiwa.exe] C:\WINDOWS\apiwa.exe O4 - HKLM\..\RunOnce: [mfcxl.exe] C:\WINDOWS\mfcxl.exe O4 - HKLM\..\RunOnce: [d3pk.exe] C:\WINDOWS\system32\d3pk.exe O4 - HKLM\..\RunOnce: [d3mf32.exe] C:\WINDOWS\d3mf32.exe O4 - HKLM\..\RunOnce: [adduu.exe] C:\WINDOWS\adduu.exe O4 - HKLM\..\RunOnce: [ntij32.exe] C:\WINDOWS\system32\ntij32.exe O4 - HKLM\..\RunOnce: [ipup.exe] C:\WINDOWS\ipup.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe O4 - Global Startup: ORiNOCO Client Manager.lnk = ? O4 - Global Startup: Telefonverbindungsmonitor.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O13 - DefaultPrefix: O13 - WWW Prefix: O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemp...veSecurity.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...7690.392974537 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab |
21.06.2004, 18:01 | #2 |
/// Mr. Schatten | Wer hat Plan und riskiert mal nen Blick?? ein Blick riskiert und ich wende mich mit Grausem ab...
__________________was glaubst Du könnte "RunOnce" bedeuten? Sammelst Du das? RunOnce ist eigentlich für Programme die sich nach/mit einem Neustart fertig installieren. Nutzt auch malware, damit es jedesmal wieder kommt selbst wenn du die bestehende Malware löschst. Beim Neustart wird sie neu installiert. 3 Möglichkeit: - Neuinstallation - alle runonce ungesehen fixen - für alle runonce erst mal google und dann löschen aber mir ist es zu blöd alles durchzuschauen, dein System ist ziemlich Müll (auch die R0 und R1) O2 - BHO: (no name) - {16B1C426-DECE-9941-ED8F-0DD52B41F242} - C:\WINDOWS\winvg.dll F0 und F2, was ist das für ein Monitor.exe?
__________________ |
21.06.2004, 18:04 | #3 |
| Wer hat Plan und riskiert mal nen Blick?? Mal schauen...
__________________</font><blockquote>Zitat:</font><hr />C:\WINDOWS\system32\crzb32.exe</font>[/QUOTE]sehr verdächtig </font><blockquote>Zitat:</font><hr />C:\Program Files\Altnet\Points Manager\Points Manager.exe</font>[/QUOTE]Spyware </font><blockquote>Zitat:</font><hr />C:\WINDOWS\system32\winfp32.exe</font>[/QUOTE]verdächtig </font><blockquote>Zitat:</font><hr />C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe</font>[/QUOTE]Spyware </font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\strgy.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://strgy.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://strgy.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\strgy.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://strgy.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\strgy.dll/sp.html#96676 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = nbsserv:8080</font>[/QUOTE]Spyware </font><blockquote>Zitat:</font><hr />F0 - system.ini: Shell=Explorer.exe monitor.exe F2 - REG:system.ini: Shell=Explorer.exe monitor.exe</font>[/QUOTE]Malware </font><blockquote>Zitat:</font><hr />O2 - BHO: (no name) - {16B1C426-DECE-9941-ED8F-0DD52B41F242} - C:\WINDOWS\winvg.dll </font>[/QUOTE]verdächtig/Spyware </font><blockquote>Zitat:</font><hr /> O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s </font>[/QUOTE]Spyware </font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [winfp32.exe] C:\WINDOWS\system32\winfp32.exe</font>[/QUOTE]verdächtig </font><blockquote>Zitat:</font><hr />O4 - HKCU\..\Run: [monitor] Explorer.exe monitor.exe</font>[/QUOTE]Malware </font><blockquote>Zitat:</font><hr />O4 - HKLM\..\RunOnce: [ntoq32.exe] C:\WINDOWS\system32\ntoq32.exe O4 - HKLM\..\RunOnce: [crzb32.exe] C:\WINDOWS\system32\crzb32.exe O4 - HKLM\..\RunOnce: [msby32.exe] C:\WINDOWS\system32\msby32.exe O4 - HKLM\..\RunOnce: [apphj32.exe] C:\WINDOWS\system32\apphj32.exe O4 - HKLM\..\RunOnce: [addrf.exe] C:\WINDOWS\system32\addrf.exe O4 - HKLM\..\RunOnce: [sdkyi.exe] C:\WINDOWS\sdkyi.exe O4 - HKLM\..\RunOnce: [msqr32.exe] C:\WINDOWS\system32\msqr32.exe O4 - HKLM\..\RunOnce: [crfe.exe] C:\WINDOWS\crfe.exe O4 - HKLM\..\RunOnce: [mfcom.exe] C:\WINDOWS\mfcom.exe O4 - HKLM\..\RunOnce: [netpz32.exe] C:\WINDOWS\system32\netpz32.exe O4 - HKLM\..\RunOnce: [winoh32.exe] C:\WINDOWS\system32\winoh32.exe O4 - HKLM\..\RunOnce: [winqp32.exe] C:\WINDOWS\winqp32.exe O4 - HKLM\..\RunOnce: [ievu.exe] C:\WINDOWS\system32\ievu.exe O4 - HKLM\..\RunOnce: [sysar.exe] C:\WINDOWS\system32\sysar.exe O4 - HKLM\..\RunOnce: [ntka32.exe] C:\WINDOWS\system32\ntka32.exe O4 - HKLM\..\RunOnce: [apitb32.exe] C:\WINDOWS\apitb32.exe O4 - HKLM\..\RunOnce: [ntjj.exe] C:\WINDOWS\ntjj.exe O4 - HKLM\..\RunOnce: [atlof.exe] C:\WINDOWS\system32\atlof.exe O4 - HKLM\..\RunOnce: [syssz32.exe] C:\WINDOWS\syssz32.exe O4 - HKLM\..\RunOnce: [addbd32.exe] C:\WINDOWS\system32\addbd32.exe O4 - HKLM\..\RunOnce: [sysah.exe] C:\WINDOWS\system32\sysah.exe O4 - HKLM\..\RunOnce: [javass32.exe] C:\WINDOWS\system32\javass32.exe O4 - HKLM\..\RunOnce: [sysmz.exe] C:\WINDOWS\sysmz.exe O4 - HKLM\..\RunOnce: [mfcft.exe] C:\WINDOWS\system32\mfcft.exe O4 - HKLM\..\RunOnce: [ipcn.exe] C:\WINDOWS\ipcn.exe O4 - HKLM\..\RunOnce: [apiwa.exe] C:\WINDOWS\apiwa.exe O4 - HKLM\..\RunOnce: [mfcxl.exe] C:\WINDOWS\mfcxl.exe O4 - HKLM\..\RunOnce: [d3pk.exe] C:\WINDOWS\system32\d3pk.exe O4 - HKLM\..\RunOnce: [d3mf32.exe] C:\WINDOWS\d3mf32.exe O4 - HKLM\..\RunOnce: [adduu.exe] C:\WINDOWS\adduu.exe O4 - HKLM\..\RunOnce: [ntij32.exe] C:\WINDOWS\system32\ntij32.exe O4 - HKLM\..\RunOnce: [ipup.exe] C:\WINDOWS\ipup.exe</font>[/QUOTE]sehr verdächtig </font><blockquote>Zitat:</font><hr />O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - </font>[/QUOTE]Spyware </font><blockquote>Zitat:</font><hr />O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemp...veSecurity.cab </font>[/QUOTE]verdächtig Dein Rechner ist derart verwanzt, daß sich eine Reparatur eigentlich nicht lohnt. Er sollte neu aufgesetzt werden. Bitte schick die "verdächtig"en Dateien zwecks genauerer Analyse an virus@rokop-security.de. ciao docprantl
__________________ |
21.06.2004, 18:05 | #4 |
| Wer hat Plan und riskiert mal nen Blick?? Da fällt mir noch ein Symptom ein: Wenn ich früher im IE "google.de" eingegeben habe, dann hat der IE den Rest "http://www." ergänzt. Vor einer Woche musste ich dann schon "www.google.de" eingeben, sonst bin ich bei dieser besch... suchseite gelandet. Mitlerweile muss ich sogar "http://" davorschreiben damit es überhaupt noch funktioniert. Ich bin gespannt, was als nächstes kommt Vielleicht muss ich dann immer direkt die IPs eingeben... |
21.06.2004, 18:37 | #5 |
| Wer hat Plan und riskiert mal nen Blick?? booaaa - da schaut es aber echt übel aus - würde sagen volltreffer. [img]graemlins/headbang.gif[/img] |
21.06.2004, 19:16 | #6 |
| Wer hat Plan und riskiert mal nen Blick?? Hallo Lukas, tut mir leid, aber ich würde formatieren, das System neu aufsetzen und dann die Passwörter / Zugangsdaten ändern. Damit fährst du persönlich am sichersten. http://www.mathematik.uni-marburg.de...ompromise.html |
22.06.2004, 16:25 | #7 |
| Wer hat Plan und riskiert mal nen Blick?? Aaalso: erstmal vielen Dank für die ehrlichen Einschätzungen Voller Freude kann ich nun verkünden, dass ich seit 2 Stunden und seit mehrmaligem Booten Nichts Bösartiges mehr hat blicken lassen!!! Meine Startseite läuft wieder normal, die Adressergänzung ebenfalls... Ich hab zusätzlich zu den schon genannten Progs noch easycleaner 2.0 benutzt, Und natürlich die strgy.dll gelöscht. Naja, wie auch immer, ich hoffe, dass ich die Sache jetzt im Griff habe, und kann allen anderen Betroffenen nur raten, sich mal nen Tag Zeit zu nehmen und mit allen Progs dauerfeuer zu schiessen.... |
22.06.2004, 16:31 | #8 |
| Wer hat Plan und riskiert mal nen Blick?? Zum Abschluss noch mal ein log, falls jemand noch was UNHEIMLICHES sieht... bitte, bitte... Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\T-DSL Business\BOLog.exe C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe C:\Dokumente und Einstellungen\Lukas\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sg33k.de R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = nbsserv:8080 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [BusinessOnline Log] "C:\Programme\T-DSL Business\BOLog.exe" O4 - HKLM\..\Run: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c O4 - HKLM\..\Run: [Ad-watch] "C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe" O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) |
22.06.2004, 16:54 | #9 |
| Wer hat Plan und riskiert mal nen Blick?? Hallo Psychowski ich hoffe Dein System ist immer noch fehlerfrei. Wirf doch zur Sicherheit einen Blick unter Systemsteuerung > Verwaltung > Dienste und suche nach Network Serurity Service oder NS_2 bzw. NS_3. Solltes Du hier einen Eintrag haben über klick re Eigenschaften deaktvieren und schau Dir den Pfad an der dort eingertragen ist. Gruss Willy |
22.06.2004, 18:11 | #10 |
| Wer hat Plan und riskiert mal nen Blick?? Hallo Design Willy, ja, ich hab nen Eintrag gefunden. (Network Security Service). Hab den "Starttyp" auf "deaktiviert" gesetzt. Der Pfad ist: C:\WINDOWS\system32\crzb32.exe /s Soll ich diese Datei löschen?? Danke und Gruß, Psychowski |
22.06.2004, 18:18 | #11 |
Wer hat Plan und riskiert mal nen Blick?? ja pfad und datei löschen der dienst sollte ja deaktiviert sein
__________________ Die Suchfunktion des Boards |
22.06.2004, 18:27 | #12 |
| Wer hat Plan und riskiert mal nen Blick?? hmm, die Datei "C:\WINDOWS\system32\crzb32.exe" existiert nicht... kann es vielleicht sein, dass ich die bei einem der unzähligen Scans schon erwischt habe?? Ich hab die Logfiles nicht alle gespeichert... |
22.06.2004, 18:29 | #13 |
Wer hat Plan und riskiert mal nen Blick?? </font><blockquote>Zitat:</font><hr />hmm, die Datei "C:\WINDOWS\system32\crzb32.exe" existiert nicht... kann es vielleicht sein, dass ich die bei einem der unzähligen Scans schon erwischt habe?? Ich hab die Logfiles nicht alle gespeichert... </font>[/QUOTE]gut möglich lass den diesnst deaktiviert aber sollte weg sein
__________________ Die Suchfunktion des Boards |
22.06.2004, 18:30 | #14 |
| Wer hat Plan und riskiert mal nen Blick?? dafür hab ich aber folgende Datei gefunden: C:\Windows\Prefetch\CRZB32.EXE-28E24D5E.pf kommt mir irgendwie spanisch vor... |
22.06.2004, 18:38 | #15 |
Wer hat Plan und riskiert mal nen Blick?? </font><blockquote>Zitat:</font><hr />CRZB32.EXE </font>[/QUOTE]das ists doch wech damit
__________________ Die Suchfunktion des Boards |
Themen zu Wer hat Plan und riskiert mal nen Blick?? |
adobe, antivirus, application, bho, dateien, desktop, einstellungen, excel, explorer, fehlermeldung, hijack, hijackthis, installation, internet, internet explorer, logfile, microsoft, monitor.exe, object, programme, scan, shockwave, software, spyware, sun java, symantec, system, windows, windows messenger, windows xp |