Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Wer hat Plan und riskiert mal nen Blick??

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 21.06.2004, 17:44   #1
Psychowski
 
Wer hat Plan und riskiert mal nen Blick?? - Beitrag

Wer hat Plan und riskiert mal nen Blick??



Hallo, ich versuchs jetzt mal auf diesem Wege, und hoffe ein bisschen weiter zu kommen. Ich hab einige Progs und Scanner schon probiert, aber z.B. meine Startseite bleibt hartnäckig, System wird immer langsamer, Fehlermeldung "monitor.exe" fehlt...

Ich poste jetzt hier mal mein "HijackThis" logfile, und hoffe auf interessante und hilfreiche reaktionen )

Logfile of HijackThis v1.97.7
Scan saved at 18:35:04, on 21.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\crzb32.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\T-DSL Business\BOLog.exe
C:\Program Files\Altnet\Points Manager\Points Manager.exe
C:\WINDOWS\system32\winfp32.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\DeTeWe\OpenCom 30\Capictrl.exe
C:\Programme\ORiNOCO\Client Manager\CMLUC.EXE
C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
c:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE
C:\Dokumente und Einstellungen\Lukas\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\strgy.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://strgy.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://strgy.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\strgy.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://strgy.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\strgy.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = nbsserv:8080
F0 - system.ini: Shell=Explorer.exe monitor.exe
F2 - REG:system.ini: Shell=Explorer.exe monitor.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {16B1C426-DECE-9941-ED8F-0DD52B41F242} - C:\WINDOWS\winvg.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\OpenCom 30\routcnf.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [BusinessOnline Log] "C:\Programme\T-DSL Business\BOLog.exe"
O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s
O4 - HKLM\..\Run: [winfp32.exe] C:\WINDOWS\system32\winfp32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [Spyware Begone] c:\programme\freescan\freescan.exe -FastScan
O4 - HKCU\..\Run: [monitor] Explorer.exe monitor.exe
O4 - HKLM\..\RunOnce: [ntoq32.exe] C:\WINDOWS\system32\ntoq32.exe
O4 - HKLM\..\RunOnce: [crzb32.exe] C:\WINDOWS\system32\crzb32.exe
O4 - HKLM\..\RunOnce: [msby32.exe] C:\WINDOWS\system32\msby32.exe
O4 - HKLM\..\RunOnce: [apphj32.exe] C:\WINDOWS\system32\apphj32.exe
O4 - HKLM\..\RunOnce: [addrf.exe] C:\WINDOWS\system32\addrf.exe
O4 - HKLM\..\RunOnce: [sdkyi.exe] C:\WINDOWS\sdkyi.exe
O4 - HKLM\..\RunOnce: [msqr32.exe] C:\WINDOWS\system32\msqr32.exe
O4 - HKLM\..\RunOnce: [crfe.exe] C:\WINDOWS\crfe.exe
O4 - HKLM\..\RunOnce: [mfcom.exe] C:\WINDOWS\mfcom.exe
O4 - HKLM\..\RunOnce: [netpz32.exe] C:\WINDOWS\system32\netpz32.exe
O4 - HKLM\..\RunOnce: [winoh32.exe] C:\WINDOWS\system32\winoh32.exe
O4 - HKLM\..\RunOnce: [winqp32.exe] C:\WINDOWS\winqp32.exe
O4 - HKLM\..\RunOnce: [ievu.exe] C:\WINDOWS\system32\ievu.exe
O4 - HKLM\..\RunOnce: [sysar.exe] C:\WINDOWS\system32\sysar.exe
O4 - HKLM\..\RunOnce: [ntka32.exe] C:\WINDOWS\system32\ntka32.exe
O4 - HKLM\..\RunOnce: [apitb32.exe] C:\WINDOWS\apitb32.exe
O4 - HKLM\..\RunOnce: [ntjj.exe] C:\WINDOWS\ntjj.exe
O4 - HKLM\..\RunOnce: [atlof.exe] C:\WINDOWS\system32\atlof.exe
O4 - HKLM\..\RunOnce: [syssz32.exe] C:\WINDOWS\syssz32.exe
O4 - HKLM\..\RunOnce: [addbd32.exe] C:\WINDOWS\system32\addbd32.exe
O4 - HKLM\..\RunOnce: [sysah.exe] C:\WINDOWS\system32\sysah.exe
O4 - HKLM\..\RunOnce: [javass32.exe] C:\WINDOWS\system32\javass32.exe
O4 - HKLM\..\RunOnce: [sysmz.exe] C:\WINDOWS\sysmz.exe
O4 - HKLM\..\RunOnce: [mfcft.exe] C:\WINDOWS\system32\mfcft.exe
O4 - HKLM\..\RunOnce: [ipcn.exe] C:\WINDOWS\ipcn.exe
O4 - HKLM\..\RunOnce: [apiwa.exe] C:\WINDOWS\apiwa.exe
O4 - HKLM\..\RunOnce: [mfcxl.exe] C:\WINDOWS\mfcxl.exe
O4 - HKLM\..\RunOnce: [d3pk.exe] C:\WINDOWS\system32\d3pk.exe
O4 - HKLM\..\RunOnce: [d3mf32.exe] C:\WINDOWS\d3mf32.exe
O4 - HKLM\..\RunOnce: [adduu.exe] C:\WINDOWS\adduu.exe
O4 - HKLM\..\RunOnce: [ntij32.exe] C:\WINDOWS\system32\ntij32.exe
O4 - HKLM\..\RunOnce: [ipup.exe] C:\WINDOWS\ipup.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe
O4 - Global Startup: ORiNOCO Client Manager.lnk = ?
O4 - Global Startup: Telefonverbindungsmonitor.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O13 - DefaultPrefix:
O13 - WWW Prefix:
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemp...veSecurity.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...7690.392974537
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab

Alt 21.06.2004, 18:01   #2
Shadow
/// Mr. Schatten
 
Wer hat Plan und riskiert mal nen Blick?? - Beitrag

Wer hat Plan und riskiert mal nen Blick??



ein Blick riskiert und ich wende mich mit Grausem ab...
was glaubst Du könnte "RunOnce" bedeuten?
Sammelst Du das?
RunOnce ist eigentlich für Programme die sich nach/mit einem Neustart fertig installieren.

Nutzt auch malware, damit es jedesmal wieder kommt selbst wenn du die bestehende Malware löschst. Beim Neustart wird sie neu installiert.

3 Möglichkeit:

- Neuinstallation
- alle runonce ungesehen fixen
- für alle runonce erst mal google und dann löschen


aber mir ist es zu blöd alles durchzuschauen, dein System ist ziemlich Müll
(auch die R0 und R1)

O2 - BHO: (no name) - {16B1C426-DECE-9941-ED8F-0DD52B41F242} - C:\WINDOWS\winvg.dll

F0 und F2, was ist das für ein Monitor.exe?
__________________

__________________

Alt 21.06.2004, 18:04   #3
docprantl
 
Wer hat Plan und riskiert mal nen Blick?? - Ausrufezeichen

Wer hat Plan und riskiert mal nen Blick??



Mal schauen...
</font><blockquote>Zitat:</font><hr />C:\WINDOWS\system32\crzb32.exe</font>[/QUOTE]sehr verdächtig
</font><blockquote>Zitat:</font><hr />C:\Program Files\Altnet\Points Manager\Points Manager.exe</font>[/QUOTE]Spyware
</font><blockquote>Zitat:</font><hr />C:\WINDOWS\system32\winfp32.exe</font>[/QUOTE]verdächtig
</font><blockquote>Zitat:</font><hr />C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe</font>[/QUOTE]Spyware
</font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\strgy.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://strgy.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://strgy.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\strgy.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://strgy.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\strgy.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = nbsserv:8080</font>[/QUOTE]Spyware
</font><blockquote>Zitat:</font><hr />F0 - system.ini: Shell=Explorer.exe monitor.exe
F2 - REG:system.ini: Shell=Explorer.exe monitor.exe</font>[/QUOTE]Malware
</font><blockquote>Zitat:</font><hr />O2 - BHO: (no name) - {16B1C426-DECE-9941-ED8F-0DD52B41F242} - C:\WINDOWS\winvg.dll
</font>[/QUOTE]verdächtig/Spyware
</font><blockquote>Zitat:</font><hr />
O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s </font>[/QUOTE]Spyware
</font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [winfp32.exe] C:\WINDOWS\system32\winfp32.exe</font>[/QUOTE]verdächtig
</font><blockquote>Zitat:</font><hr />O4 - HKCU\..\Run: [monitor] Explorer.exe monitor.exe</font>[/QUOTE]Malware
</font><blockquote>Zitat:</font><hr />O4 - HKLM\..\RunOnce: [ntoq32.exe] C:\WINDOWS\system32\ntoq32.exe
O4 - HKLM\..\RunOnce: [crzb32.exe] C:\WINDOWS\system32\crzb32.exe
O4 - HKLM\..\RunOnce: [msby32.exe] C:\WINDOWS\system32\msby32.exe
O4 - HKLM\..\RunOnce: [apphj32.exe] C:\WINDOWS\system32\apphj32.exe
O4 - HKLM\..\RunOnce: [addrf.exe] C:\WINDOWS\system32\addrf.exe
O4 - HKLM\..\RunOnce: [sdkyi.exe] C:\WINDOWS\sdkyi.exe
O4 - HKLM\..\RunOnce: [msqr32.exe] C:\WINDOWS\system32\msqr32.exe
O4 - HKLM\..\RunOnce: [crfe.exe] C:\WINDOWS\crfe.exe
O4 - HKLM\..\RunOnce: [mfcom.exe] C:\WINDOWS\mfcom.exe
O4 - HKLM\..\RunOnce: [netpz32.exe] C:\WINDOWS\system32\netpz32.exe
O4 - HKLM\..\RunOnce: [winoh32.exe] C:\WINDOWS\system32\winoh32.exe
O4 - HKLM\..\RunOnce: [winqp32.exe] C:\WINDOWS\winqp32.exe
O4 - HKLM\..\RunOnce: [ievu.exe] C:\WINDOWS\system32\ievu.exe
O4 - HKLM\..\RunOnce: [sysar.exe] C:\WINDOWS\system32\sysar.exe
O4 - HKLM\..\RunOnce: [ntka32.exe] C:\WINDOWS\system32\ntka32.exe
O4 - HKLM\..\RunOnce: [apitb32.exe] C:\WINDOWS\apitb32.exe
O4 - HKLM\..\RunOnce: [ntjj.exe] C:\WINDOWS\ntjj.exe
O4 - HKLM\..\RunOnce: [atlof.exe] C:\WINDOWS\system32\atlof.exe
O4 - HKLM\..\RunOnce: [syssz32.exe] C:\WINDOWS\syssz32.exe
O4 - HKLM\..\RunOnce: [addbd32.exe] C:\WINDOWS\system32\addbd32.exe
O4 - HKLM\..\RunOnce: [sysah.exe] C:\WINDOWS\system32\sysah.exe
O4 - HKLM\..\RunOnce: [javass32.exe] C:\WINDOWS\system32\javass32.exe
O4 - HKLM\..\RunOnce: [sysmz.exe] C:\WINDOWS\sysmz.exe
O4 - HKLM\..\RunOnce: [mfcft.exe] C:\WINDOWS\system32\mfcft.exe
O4 - HKLM\..\RunOnce: [ipcn.exe] C:\WINDOWS\ipcn.exe
O4 - HKLM\..\RunOnce: [apiwa.exe] C:\WINDOWS\apiwa.exe
O4 - HKLM\..\RunOnce: [mfcxl.exe] C:\WINDOWS\mfcxl.exe
O4 - HKLM\..\RunOnce: [d3pk.exe] C:\WINDOWS\system32\d3pk.exe
O4 - HKLM\..\RunOnce: [d3mf32.exe] C:\WINDOWS\d3mf32.exe
O4 - HKLM\..\RunOnce: [adduu.exe] C:\WINDOWS\adduu.exe
O4 - HKLM\..\RunOnce: [ntij32.exe] C:\WINDOWS\system32\ntij32.exe
O4 - HKLM\..\RunOnce: [ipup.exe] C:\WINDOWS\ipup.exe</font>[/QUOTE]sehr verdächtig
</font><blockquote>Zitat:</font><hr />O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - </font>[/QUOTE]Spyware
</font><blockquote>Zitat:</font><hr />O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemp...veSecurity.cab </font>[/QUOTE]verdächtig

Dein Rechner ist derart verwanzt, daß sich eine Reparatur eigentlich nicht lohnt. Er sollte neu aufgesetzt werden. Bitte schick die "verdächtig"en Dateien zwecks genauerer Analyse an virus@rokop-security.de.

ciao
docprantl
__________________
__________________

Alt 21.06.2004, 18:05   #4
Psychowski
 
Wer hat Plan und riskiert mal nen Blick?? - Beitrag

Wer hat Plan und riskiert mal nen Blick??



Da fällt mir noch ein Symptom ein:
Wenn ich früher im IE "google.de" eingegeben habe, dann hat der IE den Rest "http://www." ergänzt. Vor einer Woche musste ich dann schon "www.google.de" eingeben, sonst bin ich bei dieser besch... suchseite gelandet. Mitlerweile muss ich sogar "http://" davorschreiben damit es überhaupt noch funktioniert.

Ich bin gespannt, was als nächstes kommt Vielleicht muss ich dann immer direkt die IPs eingeben...

Alt 21.06.2004, 18:37   #5
S.O.D
 
Wer hat Plan und riskiert mal nen Blick?? - Beitrag

Wer hat Plan und riskiert mal nen Blick??



booaaa - da schaut es aber echt übel aus - würde sagen volltreffer. [img]graemlins/headbang.gif[/img]


Alt 21.06.2004, 19:16   #6
mmk
 
Wer hat Plan und riskiert mal nen Blick?? - Beitrag

Wer hat Plan und riskiert mal nen Blick??



Hallo Lukas,

tut mir leid, aber ich würde formatieren, das System neu aufsetzen und dann die Passwörter / Zugangsdaten ändern. Damit fährst du persönlich am sichersten.

http://www.mathematik.uni-marburg.de...ompromise.html

Alt 22.06.2004, 16:25   #7
Psychowski
 
Wer hat Plan und riskiert mal nen Blick?? - Beitrag

Wer hat Plan und riskiert mal nen Blick??



Aaalso: erstmal vielen Dank für die ehrlichen Einschätzungen
Voller Freude kann ich nun verkünden, dass ich seit 2 Stunden und seit mehrmaligem Booten Nichts Bösartiges mehr hat blicken lassen!!!

Meine Startseite läuft wieder normal, die Adressergänzung ebenfalls...

Ich hab zusätzlich zu den schon genannten Progs noch easycleaner 2.0 benutzt, Und natürlich die strgy.dll gelöscht.

Naja, wie auch immer, ich hoffe, dass ich die Sache jetzt im Griff habe, und kann allen anderen Betroffenen nur raten, sich mal nen Tag Zeit zu nehmen und mit allen Progs dauerfeuer zu schiessen....

Alt 22.06.2004, 16:31   #8
Psychowski
 
Wer hat Plan und riskiert mal nen Blick?? - Beitrag

Wer hat Plan und riskiert mal nen Blick??



Zum Abschluss noch mal ein log, falls jemand noch was UNHEIMLICHES sieht... bitte, bitte...


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\T-DSL Business\BOLog.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Dokumente und Einstellungen\Lukas\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sg33k.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = nbsserv:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BusinessOnline Log] "C:\Programme\T-DSL Business\BOLog.exe"
O4 - HKLM\..\Run: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [Ad-watch] "C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

Alt 22.06.2004, 16:54   #9
design-willy
 
Wer hat Plan und riskiert mal nen Blick?? - Beitrag

Wer hat Plan und riskiert mal nen Blick??



Hallo
Psychowski

ich hoffe Dein System ist immer noch fehlerfrei.
Wirf doch zur Sicherheit einen Blick unter Systemsteuerung &gt; Verwaltung &gt; Dienste und suche nach Network Serurity Service oder NS_2 bzw. NS_3.
Solltes Du hier einen Eintrag haben über klick re Eigenschaften deaktvieren und schau Dir den Pfad an der dort eingertragen ist.
Gruss Willy

Alt 22.06.2004, 18:11   #10
Psychowski
 
Wer hat Plan und riskiert mal nen Blick?? - Beitrag

Wer hat Plan und riskiert mal nen Blick??



Hallo Design Willy,

ja, ich hab nen Eintrag gefunden. (Network Security Service). Hab den "Starttyp" auf "deaktiviert" gesetzt.

Der Pfad ist: C:\WINDOWS\system32\crzb32.exe /s

Soll ich diese Datei löschen??


Danke und Gruß, Psychowski

Alt 22.06.2004, 18:18   #11
Olo
 

Wer hat Plan und riskiert mal nen Blick?? - Beitrag

Wer hat Plan und riskiert mal nen Blick??



ja pfad und datei löschen
der dienst sollte ja deaktiviert sein
__________________
Die Suchfunktion des Boards

Alt 22.06.2004, 18:27   #12
Psychowski
 
Wer hat Plan und riskiert mal nen Blick?? - Beitrag

Wer hat Plan und riskiert mal nen Blick??



hmm, die Datei "C:\WINDOWS\system32\crzb32.exe" existiert nicht...
kann es vielleicht sein, dass ich die bei einem der unzähligen Scans schon erwischt habe?? Ich hab die Logfiles nicht alle gespeichert...

Alt 22.06.2004, 18:29   #13
Olo
 

Wer hat Plan und riskiert mal nen Blick?? - Beitrag

Wer hat Plan und riskiert mal nen Blick??



</font><blockquote>Zitat:</font><hr />hmm, die Datei "C:\WINDOWS\system32\crzb32.exe" existiert nicht...
kann es vielleicht sein, dass ich die bei einem der unzähligen Scans schon erwischt habe?? Ich hab die Logfiles nicht alle gespeichert... </font>[/QUOTE]gut möglich
lass den diesnst deaktiviert
aber sollte weg sein
__________________
Die Suchfunktion des Boards

Alt 22.06.2004, 18:30   #14
Psychowski
 
Wer hat Plan und riskiert mal nen Blick?? - Beitrag

Wer hat Plan und riskiert mal nen Blick??



dafür hab ich aber folgende Datei gefunden:

C:\Windows\Prefetch\CRZB32.EXE-28E24D5E.pf

kommt mir irgendwie spanisch vor...

Alt 22.06.2004, 18:38   #15
Olo
 

Wer hat Plan und riskiert mal nen Blick?? - Beitrag

Wer hat Plan und riskiert mal nen Blick??



</font><blockquote>Zitat:</font><hr />CRZB32.EXE </font>[/QUOTE]das ists doch

wech damit
__________________
Die Suchfunktion des Boards

Antwort

Themen zu Wer hat Plan und riskiert mal nen Blick??
adobe, antivirus, application, bho, dateien, desktop, einstellungen, excel, explorer, fehlermeldung, hijack, hijackthis, installation, internet, internet explorer, logfile, microsoft, monitor.exe, object, programme, scan, shockwave, software, spyware, sun java, symantec, system, windows, windows messenger, windows xp



Ähnliche Themen: Wer hat Plan und riskiert mal nen Blick??


  1. Cyberattacken: Regierungen brauchen einen Plan
    Nachrichten - 03.09.2015 (0)
  2. Abofalle über E-Mail, oder nicht hab kein plan ..
    Plagegeister aller Art und deren Bekämpfung - 29.04.2014 (12)
  3. Plan zur Copyright-Verschärfung im Pazifikraum öffentlich Meldung:
    Diskussionsforum - 11.03.2012 (2)
  4. Win32:FraudPack-A [Trj] Null Plan
    Plagegeister aller Art und deren Bekämpfung - 14.10.2008 (1)
  5. so mein erster log und hab kein plan what it means
    Mülltonne - 17.11.2007 (0)
  6. Hijack.... ich hab keinen plan
    Mülltonne - 10.10.2007 (0)
  7. kein plan
    Mülltonne - 03.09.2006 (1)
  8. Trojan horse ,,ams491.dat,, und kein plan wie der wech geht ... die Zweite!
    Plagegeister aller Art und deren Bekämpfung - 02.11.2005 (2)
  9. könnt ihr euch des mal anschauen ich hab davon kein plan
    Log-Analyse und Auswertung - 22.08.2005 (1)
  10. Trojan horse ,,ams491.dat,, und kein plan wie der wech geht :(( need help
    Plagegeister aller Art und deren Bekämpfung - 08.08.2005 (5)
  11. Bitte Helfen hab keinen plan !
    Log-Analyse und Auswertung - 14.03.2005 (3)
  12. hab gerade keinen plan ?!?!?!?
    Log-Analyse und Auswertung - 08.03.2005 (3)
  13. dickes problem - wenig plan - hilFe..
    Plagegeister aller Art und deren Bekämpfung - 04.01.2005 (6)
  14. Hilfe !!! Habe Trojaner und keinen Plan...
    Plagegeister aller Art und deren Bekämpfung - 01.12.2004 (27)
  15. keinen plan!hilfe?
    Log-Analyse und Auswertung - 20.11.2004 (6)
  16. kein plan von was
    Log-Analyse und Auswertung - 01.11.2004 (3)
  17. trojaner hijack ich hab keinen plan davon
    Log-Analyse und Auswertung - 19.06.2004 (2)

Zum Thema Wer hat Plan und riskiert mal nen Blick?? - Hallo, ich versuchs jetzt mal auf diesem Wege, und hoffe ein bisschen weiter zu kommen. Ich hab einige Progs und Scanner schon probiert, aber z.B. meine Startseite bleibt hartnäckig, System - Wer hat Plan und riskiert mal nen Blick??...
Archiv
Du betrachtest: Wer hat Plan und riskiert mal nen Blick?? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.