Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: unsichtbarer Plagegeist

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 04.10.2004, 18:51   #1
Korkhase
 
unsichtbarer Plagegeist - Lächeln

unsichtbarer Plagegeist



Als neues Boardmitglied begrüße ich erstmal alle Teilnehmer. Natürlich hat mich die Google-Suche zu diesem Board geführt und ich mußte feststellen, dass es kaum ein deutschsprachiges Board gibt, in dem Viren-Probleme so ausführlich behandelt werden :aplaus:

Nun zu meinem speziellen Problem: Alle Virenscanner (Kaspersky, Norton, Antivir, McAffee) bescheinigen mir ein virenfreies System (Windows 98 'SE). Das kann aber nicht stimmen, weil es unkontrollierte Aktivitäten gibt, die auf einen Trojaner hinweisen:
- nach dem Start der Programme Ad-aware oder Security-Task-Manager (dort nicht immer) blockiert das System total, sodass nur der Ausschaltknopf weiterhilft, im abgesicherten Modus läuft Ad-Aware einwandfrei, zeigt aber nichts an.
- der Zugriff auf e-mails wird verwehrt (ich helfe mir da mit meinem Laptop (XP)
- Spybot zeigt sporadisch die Meldung: Common Extension hijack: Default registry file handler (Registerierungsdatenbank-Änderung, fixed)
HKEY-Classes-Root\regfile\shell\open\command\=regedit.exe "%1"
HKEY-Classes-Root\scrfile\shell\open\command\=regedit.exe "%1" /S

- ScanDisk kann nur im abgesicherten Modus ausgeführt werden, weil nicht alle Programme geschlossen sind, so die Meldung.

Jetzt hänge ich noch meine Logfile an mit der Bitte an die Experten, ob da was wurmstichiges zu sehen ist.

Vielen Dank und frische Grüße
Korkhase

Logfile of HijackThis v1.97.7
Scan saved at 19:26:47, on 04.10.2004
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\POPROXY.EXE
C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\EIGENE DATEIEN\TESTDOKUMENTE\DOWNLOADS\STINGER.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\EIGENE DATEIEN\TESTDOKUMENTE\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;www.ngi
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - {724F6607-4698-48F8-903F-120EA084E3F9} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ccProxy] C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPROXY.EXE
O4 - HKLM\..\RunServices: [SndSrvc] C:\PROGRA~1\GEMEIN~1\SYMANT~1\SNDSRVC.EXE
O4 - HKCU\..\Run: [DTgrafic Desktopkalender] C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE
O4 - Startup: ccApp.exe.lnk = C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O12 - Plugin for .pca: C:\PROGRA~1\INTERN~1\PLUGINS\nppcaplg.dll
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll
O12 - Plugin for .avi: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npavi32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {17448E17-C4B9-11D1-9D50-0060084D49EC} (BVStartup Class) - http://banking.hypovereinsbank.de/bank/bin/BVCommon.CAB
O16 - DPF: {2FF18E10-DE11-11D1-8161-00A0C90DD90C} (MSNBC News Menu Control 3.0) - http://www.zdf.msnbc.de/tools/NewsBrowser/nm0713.cab
O16 - DPF: {02466323-75ED-11CF-A267-0020AF2546EA} (VivoActive Control) - http://www.vivo.com/dldv2/vvweb.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {0D6451B3-FDDA-11D3-BFEC-00D0B725EB0B} (Yahoo! FinanceVision (Browser)) - http://download.yahoo.com/dl/fv/fv.cab
O16 - DPF: {73020B72-CDD6-4F80-8098-1B2ECD9CA4CA} (HearMe VoiceCREATOR) - http://vp.hearme.com/products/vp/emb...lugins/evp.cab
O16 - DPF: {FC15E4F0-EC6A-11D2-9746-00600832DD24} (MSNChatMemberCtl) - http://communities.msn.de/central/UCCCHAT.Cab
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://activex.microsoft.com/control...b/ikcntrls.cab
O16 - DPF: {81361155-FAF9-11D3-B0D3-00C04F612FF1} (MSN Chat Control 3.0) - http://communities.msn.ch/central/he...ni/msnchat.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/de/sa/co.../bin/cabsa.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/ProductU...ntent/opuc.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...875.3358101852
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab

Alt 04.10.2004, 19:38   #2
Shadowdance
 
unsichtbarer Plagegeist - Standard

unsichtbarer Plagegeist



Hallo Korkhase,

sei so nett und lade Dir bitte die aktuelle Version von Hijack This (v1.98.2) runter: http://www.trojaner-board.de/51130-a...ijackthis.html. Erstelle damit ein neues Logfile.

SD
__________________


Alt 04.10.2004, 19:52   #3
MyThinkTank
 
unsichtbarer Plagegeist - Pfeil

unsichtbarer Plagegeist



Hi!

Etwas explizit Gefährliches kann ich in Deinem Log nicht entdecken.

Was meinst Du damit?
Zitat:
- der Zugriff auf e-mails wird verwehrt

Mein erster Verdacht geht in die Richtung, dass Du zwei miteinander unverträgliche Programme am laufen hast. Ein heißer Kandidat dafür ist immer de Software von Norton/Symantec.

Gruß!
MyThinkTank
__________________
__________________

Alt 04.10.2004, 19:53   #4
Korkhase
 
unsichtbarer Plagegeist - Standard

unsichtbarer Plagegeist



hallo Shadowdance,

danke für deine schnelle Antwort, ich hoffe, ich habe den richtigen Download erwischt, weil ich auf Chip-Seite automatisch weitergeleitet wurde. Ich muß vielleicht hinzufügen, dass mein System schon seit 4 Jahren im Einsatz ist und möglicherweise auch viel Schrott übriggeblieben ist, der die Sucharbeit erschwert.

Hier nun die neue Version:

Logfile of HijackThis v1.98.2
Scan saved at 20:49:09, on 04.10.2004
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\POPROXY.EXE
C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;www.ngi
R3 - URLSearchHook: (no name) - {724F6607-4698-48F8-903F-120EA084E3F9} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ccProxy] C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPROXY.EXE
O4 - HKLM\..\RunServices: [SndSrvc] C:\PROGRA~1\GEMEIN~1\SYMANT~1\SNDSRVC.EXE
O4 - HKCU\..\Run: [DTgrafic Desktopkalender] C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE
O4 - Startup: ccApp.exe.lnk = C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: (no name) - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\PROGRAMME\LINGOCOM\Translator.lnk (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O12 - Plugin for .pca: C:\PROGRA~1\INTERN~1\PLUGINS\nppcaplg.dll
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll
O12 - Plugin for .avi: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npavi32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {17448E17-C4B9-11D1-9D50-0060084D49EC} (BVStartup Class) - http://banking.hypovereinsbank.de/bank/bin/BVCommon.CAB
O16 - DPF: {2FF18E10-DE11-11D1-8161-00A0C90DD90C} (MSNBC News Menu Control 3.0) - http://www.zdf.msnbc.de/tools/NewsBrowser/nm0713.cab
O16 - DPF: {02466323-75ED-11CF-A267-0020AF2546EA} (VivoActive Control) - http://www.vivo.com/dldv2/vvweb.cab
O16 - DPF: {73020B72-CDD6-4F80-8098-1B2ECD9CA4CA} (HearMe VoiceCREATOR) - http://vp.hearme.com/products/vp/emb...lugins/evp.cab
O16 - DPF: {FC15E4F0-EC6A-11D2-9746-00600832DD24} (MSNChatMemberCtl) - http://communities.msn.de/central/UCCCHAT.Cab
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://activex.microsoft.com/control...b/ikcntrls.cab
O16 - DPF: {81361155-FAF9-11D3-B0D3-00C04F612FF1} (MSN Chat Control 3.0) - http://communities.msn.ch/central/he...ni/msnchat.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/de/sa/co.../bin/cabsa.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab

Alt 04.10.2004, 20:00   #5
Korkhase
 
unsichtbarer Plagegeist - Standard

unsichtbarer Plagegeist



@Think ...

ich komme garnicht so schnell zum Antworten, wie ihr euch um mein Problem annehmt. Meine beiden PC sind mit einem Router (seit 1 Woche) Netgear vernetzt und haben dieselbe Adresse zum E-mail-Abruf, das lief auch schon.
Beim 98er System kommt jetzt immer die Meldung: Benutzerdaten eingeben, die Eingabe hilft aber nicht d.h., irgendwo müssen die verändert worden sein, drum mein Verdacht auf den unbekannten hijacker.
Kann natürlich auch eine andere Ursache haben, die bei mir selber liegt, habe aber nichts gefunden.

Gruß und Dank
Korkhase


Alt 04.10.2004, 20:13   #6
chaosman
 
unsichtbarer Plagegeist - Standard

unsichtbarer Plagegeist



@Korkhase
wechsle in den abgesicherten modus,
kennst du diesen eintrag, wenn nicht dann fixen
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = ;www.ngi
fixe
R3 - URLSearchHook: (no name) - {724F6607-4698-48F8-903F-120EA084E3F9} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\PROGRAMME\LINGOCOM\Translator.lnk (file missing)
O16 - DPF: {02466323-75ED-11CF-A267-0020AF2546EA} (VivoActive Control) - http://www.vivo.com/dldv2/vvweb.cab
O16 - DPF: {73020B72-CDD6-4F80-8098-1B2ECD9CA4CA} (HearMe VoiceCREATOR) - http://vp.hearme.com/products/vp/em...plugins/evp.cab
die übrige
O16 einträge anschauen, wenn du welche nicht kennst, dann fixen
neu starten
hier clearprog downloaden http://www.clearprog.de/
und laufen lassen
chaosman
__________________
--> unsichtbarer Plagegeist

Alt 04.10.2004, 20:13   #7
MyThinkTank
 
unsichtbarer Plagegeist - Pfeil

unsichtbarer Plagegeist



Zitat:
C:\Programme\Norton AntiVirus\POPROXY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE
Also: Dein Log ist wohl sauber, soweit ich das beurteilen kann. Kein Virus etc.
Ich vermute daher, dass Du eine fehlerhafte Einstellung in Deinem Norton-Antivirus getätigt hast. Ich verweise dazu auf die obigen Einträge in Deinem Log. Du hast quasi einen Mailproxy laufen, der bestimmte Voreinstellungen hat. Diese solltest Du sorgfältig überprüfen.

Ansonsten ist eine Ferndiagnose jetzt ziemlich schwierig ...

Gruß!
MyThinkTank
__________________
MTT says: "Privacy is a human right!" SAVE Privacy (PDF, 550 KB)

Alt 04.10.2004, 20:15   #8
Shadowdance
 
unsichtbarer Plagegeist - Standard

unsichtbarer Plagegeist



Hallo Korkhase,

- scanne bitte mit dem online-scan von Kaspersky folgende Datei:

C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE

- teile uns dann bitte das Ergebnis der Überprüfung mit und sende diese Datei, wenn sie infiziert sein sollte an partytime-germany.ice@web.de.

- fixe mit Hijack This im abgesicherten Modus, und die mit (*) gekennzeichneten Einträge, wenn Du sie nicht kennst oder brauchst ebenfalls:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = ;www.ngi
R3 - URLSearchHook: (no name) - {724F6607-4698-48F8-903F-120EA084E3F9} - (no file)

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\PROGRAMME\LINGOCOM\Translator.lnk (file missing)

(*) O16 - DPF: {2FF18E10-DE11-11D1-8161-00A0C90DD90C} (MSNBC News Menu Control 3.0) - http://www.zdf.msnbc.de/tools/NewsBrowser/nm0713.cab
(*) O16 - DPF: {02466323-75ED-11CF-A267-0020AF2546EA} (VivoActive Control) - http://www.vivo.com/dldv2/vvweb.cab
(*) O16 - DPF: {73020B72-CDD6-4F80-8098-1B2ECD9CA4CA} (HearMe VoiceCREATOR) - http://vp.hearme.com/products/vp/em...plugins/evp.cab

- Du könntest - sicherheitshalber - den eScan auf Deinem System durchführen: downloade das Programm eScan, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus, siehe Anleitung: Thread-6083

- Teile uns bitte mit, wieviel Viren auf Deinem Rechner gefunden wurden, wie sie heißen, wieviele Viren gelöscht und wieviele Dateien umbenannt wurden.

- Poste dann bitte ein neues Logfile mit Hijack This.

SD

[edit] ... MTT & Chaosman [/edit]

Alt 04.10.2004, 20:44   #9
Korkhase
 
unsichtbarer Plagegeist - Standard

unsichtbarer Plagegeist



hallo shadowdance,

jetzt zeigt sich das Problem: Ich kann den kaspersky-online-scan auf den Bildschirm bekommen, gebe dann die Daten ein und daraufhin kommt nach längerer Pause die Meldung: Die Seite kann nicht angezeigt werden. Ich versuche es mal im abgesicherten Modus.

Alt 04.10.2004, 20:49   #10
Shadowdance
 
unsichtbarer Plagegeist - Standard

unsichtbarer Plagegeist



Hallo Korkhase,

den Online-Scan kannst Du nicht im abgesicherten Modus ausführen ;-) Das geht nicht, da man offline ist, wenn man im abgesicherten Modus scannt. Wenn der Online-Scan nicht geht, lass es einfach sein und führe - laut Anleitung (siehe oben) - den eScan durch. Wende Dich nun vertrauensvoll Chaosman und meinen anderen Kollegen hier an Board zu, denn ich bin von nun an ein paar Stunden offline.

Viel Erfolg und danke für die nette Begrüßung.

SD

Alt 04.10.2004, 21:31   #11
Korkhase
 
unsichtbarer Plagegeist - Icon24

unsichtbarer Plagegeist



Liebe Expertengemeinde,

da bin ich ja ganz von den Socken, wie schnell hier geholfen wird und wie der Staffelstab an die nächsten Helfer weitergeht :aplaus:
Im eigenen Interesse war ich natürlich auch fleißig und habe die Empfehlungen umgesetzt, wie man aus dem neuen Protokoll ersehen kann.

Den Moka.exe halte ich für ganz ungefährlich, das ist ein Kalenderprogramm auf dem Desktop, das ich schon 2 Jahre ohne Probleme habe.

Ein vielleicht nicht unwichtiger Hinweis, nämlich wann trat das Problem erstmals auf: Vor ca. 10 Tagen konnte ich nicht an meine E-mails und habe die T-online-Seite aufgerufen, da war eine Mail vorhanden und ohne irgendetwas anzuklicken (natürlich auch nicht das Attachment) ging plötzlich der Media-Player auf und gleich anschließend meldete sich der Norton-Viren-Scanner, der Virus Swen alias Gibe ist vorhanden. Reparieren, isolieren, löschen sei nicht möglich, der Virus sei aber abgewehrt und könne sich nicht weiter verbreiten. Hier sehe ich die eigentlich Ursache, dass die Abwehr wohl doch nicht so toll war. Ansonsten hatte ich vor 2 Jahren mal den Sircam, der sich aber beseitigen ließ, aber sonst keine Viren.

So und jetzt noch das neue Protokoll mit herzlichem Dank an alle Helfer und morgen sehen wir weiter.

Logfile of HijackThis v1.97.7
Scan saved at 22:14:54, on 04.10.2004
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\POPROXY.EXE
C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\EIGENE DATEIEN\TESTDOKUMENTE\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ccProxy] C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPROXY.EXE
O4 - HKLM\..\RunServices: [SndSrvc] C:\PROGRA~1\GEMEIN~1\SYMANT~1\SNDSRVC.EXE
O4 - HKCU\..\Run: [DTgrafic Desktopkalender] C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE
O4 - Startup: ccApp.exe.lnk = C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O12 - Plugin for .pca: C:\PROGRA~1\INTERN~1\PLUGINS\nppcaplg.dll
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll
O12 - Plugin for .avi: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npavi32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {17448E17-C4B9-11D1-9D50-0060084D49EC} (BVStartup Class) - http://banking.hypovereinsbank.de/bank/bin/BVCommon.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {0D6451B3-FDDA-11D3-BFEC-00D0B725EB0B} (Yahoo! FinanceVision (Browser)) - http://download.yahoo.com/dl/fv/fv.cab
O16 - DPF: {FC15E4F0-EC6A-11D2-9746-00600832DD24} (MSNChatMemberCtl) - http://communities.msn.de/central/UCCCHAT.Cab
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://activex.microsoft.com/control...b/ikcntrls.cab
O16 - DPF: {81361155-FAF9-11D3-B0D3-00C04F612FF1} (MSN Chat Control 3.0) - http://communities.msn.ch/central/he...ni/msnchat.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/de/sa/co.../bin/cabsa.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/ProductU...ntent/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...875.3358101852
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab

Alt 04.10.2004, 21:34   #12
chaosman
 
unsichtbarer Plagegeist - Standard

unsichtbarer Plagegeist



@Korkhase
lade doch mal den aktuellen HJT
http://www.trojaner-board.de/51130-a...ijackthis.html
und mache ein neuen scan
ansonsten sieht dein log sauber aus
chaosman
__________________
Bonus vir semper tiro

Geändert von chaosman (24.10.2004 um 13:59 Uhr)

Alt 04.10.2004, 22:10   #13
MountainKing
 
unsichtbarer Plagegeist - Standard

unsichtbarer Plagegeist



Der Hinweis war in der Tat wichtig, hier gibt es einige Infos zu diesem Virus:

http://www.rz.uni-karlsruhe.de/rz/sec/virus/SwenA.html
http://www.pctipp.ch/helpdesk/virent...chiv/25198.asp

Hier gibt es ein removal-Tool, das du ja mal testen kannst zur Sicherheit und evtl. kannst du ja einige der Dinge aus den Links bei dir finden:

http://www3.ca.com/solutions/collate...7081&CID=50601

Alt 05.10.2004, 07:25   #14
Korkhase
 
unsichtbarer Plagegeist - Standard

unsichtbarer Plagegeist



Guten Morgen,

die Hinweise auf den Wurm Swen habe ich schon alle durchgearbeitet und sämtliche erreichbaren Scanner speziell auf Swen heruntergeladen und laufen lassen. Es wurde lediglich bei Sophos (den habe ich zuerst gestartet) eine Registryänderung gefunden und berichtigt, leider hat der Scan nicht gesagt, wo genau dies geschehen ist. Alle anderen haben keine Infektion gefunden.

Hier nochmal der morgenfrische brandaktuelle Scan:
(den Lingocom werde ich noch fixen)
Logfile of HijackThis v1.98.2
Scan saved at 08:13:22, on 05.10.2004
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\POPROXY.EXE
C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ccProxy] C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPROXY.EXE
O4 - HKLM\..\RunServices: [SndSrvc] C:\PROGRA~1\GEMEIN~1\SYMANT~1\SNDSRVC.EXE
O4 - HKCU\..\Run: [DTgrafic Desktopkalender] C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE
O4 - Startup: ccApp.exe.lnk = C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\PROGRAMME\LINGOCOM\Translator.lnk (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O12 - Plugin for .pca: C:\PROGRA~1\INTERN~1\PLUGINS\nppcaplg.dll
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll
O12 - Plugin for .avi: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npavi32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {17448E17-C4B9-11D1-9D50-0060084D49EC} (BVStartup Class) - http://banking.hypovereinsbank.de/bank/bin/BVCommon.CAB
O16 - DPF: {FC15E4F0-EC6A-11D2-9746-00600832DD24} (MSNChatMemberCtl) - http://communities.msn.de/central/UCCCHAT.Cab
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://activex.microsoft.com/control...b/ikcntrls.cab
O16 - DPF: {81361155-FAF9-11D3-B0D3-00C04F612FF1} (MSN Chat Control 3.0) - http://communities.msn.ch/central/he...ni/msnchat.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/de/sa/co.../bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab

Alt 05.10.2004, 07:51   #15
Shadowdance
 
unsichtbarer Plagegeist - Standard

unsichtbarer Plagegeist



Hallo Korkhase,

Diese Einträge kannst Du noch mit HJT im abgesicherten Modus fixen - und die mit (*) gekennzeichneten Einträge, wenn Du sie nicht brauchst:

(*) O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
(*) O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
(*) O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
(*) O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\PROGRAMME\LINGOCOM\Translator.lnk (file missing)

Ansonsten sieht Dein Logfile - meiner Ansicht - völlig in Ordnung aus.

zur Lektüre empfohlen:

- IE sicher konfigurieren: www.datenschutzzentrum.de.
- Vorbeugende Maßnahmen: www.trojaner-info.de
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- www.mathematik.uni-marburg.de

SD

Antwort

Themen zu unsichtbarer Plagegeist
.exe, abgesicherten modus, ad-aware, adobe, alle programme, antivir, antivirus, antivirus scan, bho, blockiert, e-mails, email, explorer, ftp, hijack, hijackthis, internet, internet explorer, internet security, kaspersky, logfile, meinem, monitor, object, registry, rundll, scan, shockwave, software, stimme, sun java, symantec, system, trojaner, urlsearchhook, windows



Ähnliche Themen: unsichtbarer Plagegeist


  1. Tausende Apps scheffeln mit unsichtbarer Werbung Geld
    Nachrichten - 28.07.2015 (0)
  2. Mini-Rootkit: Unsichtbarer Kerneltreiber
    Diskussionsforum - 09.01.2015 (10)
  3. Plagegeist eingefangen
    Plagegeister aller Art und deren Bekämpfung - 05.07.2013 (9)
  4. Facebook Plagegeist
    Plagegeister aller Art und deren Bekämpfung - 22.02.2011 (9)
  5. Unsichtbarer Modus
    Lob, Kritik und Wünsche - 02.02.2009 (2)
  6. unsichtbarer virus
    Plagegeister aller Art und deren Bekämpfung - 24.12.2008 (1)
  7. Searchsettings Plagegeist
    Plagegeister aller Art und deren Bekämpfung - 09.09.2008 (3)
  8. Unsichtbarer Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 19.07.2007 (10)
  9. Plagegeist nervt!
    Plagegeister aller Art und deren Bekämpfung - 08.06.2007 (6)
  10. unbekannter plagegeist
    Plagegeister aller Art und deren Bekämpfung - 09.04.2006 (1)
  11. Plagegeist filost.com
    Log-Analyse und Auswertung - 12.09.2005 (2)
  12. Plagegeist in der Menüleiste
    Plagegeister aller Art und deren Bekämpfung - 03.09.2005 (1)
  13. Plagegeist filost.com
    Log-Analyse und Auswertung - 26.08.2005 (1)
  14. Plagegeist??
    Plagegeister aller Art und deren Bekämpfung - 22.06.2005 (6)
  15. Hilfe!Plagegeist?
    Plagegeister aller Art und deren Bekämpfung - 07.06.2005 (2)
  16. Ich Der Plagegeist
    Plagegeister aller Art und deren Bekämpfung - 03.05.2005 (4)
  17. kleiner plagegeist
    Log-Analyse und Auswertung - 19.10.2004 (9)

Zum Thema unsichtbarer Plagegeist - Als neues Boardmitglied begrüße ich erstmal alle Teilnehmer. Natürlich hat mich die Google-Suche zu diesem Board geführt und ich mußte feststellen, dass es kaum ein deutschsprachiges Board gibt, in dem - unsichtbarer Plagegeist...
Archiv
Du betrachtest: unsichtbarer Plagegeist auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.