|
Wie kommen "sex"-Seiten in die Registry??? Hallo, ich staunte nicht schlecht, als ich mir die registry genauer ansah: da gibts "sex"-Einträge ohne Ende. Wie kommen die da rein? Und vor allem: wie kriegt man die wieder raus?? :snyper: |
|
Danke für die rasche Antwort. Der scan ist gemacht, und welches wäre das richtige Unterforum? Danke - aus Tunesien Jochen |
... na lesen ... "hjt-log´s posten" steht doch da ... ;) |
Hallo cacatoa, wahrscheinlich bin ich zu blöd, dieses Unterforum zu finden. Anyhow: die Auswertung übers internet, wie dort angeboten, hat nichts ergebene. Zwei zweifelhafte Einträge habe ich gelöscht, die genenntane Einträge sind immer noch drin. Eigenartigerweise hat diese Methode die Registryeinträge: "internet_services_update.pif" nicht erkannt. Also nochmal, extra für mich: wo genau kann ich die log-file zum checken hochladen? Die von Dir genannte Stelle akzeptiert keine "log"-files. Sorry für die Umstände. Andere Sache: gelegentlich machen sich Fenster auf, die mir erzählen, ich solle meine registry überprüfen lassen und geben mir eine web-Adresse an. Das ganze läuft unter der Überschrift "Service Affichage Internet" (ich habe die französische Version von "Xp-Professional" In der Übersetzung heisst das etwa "Anzeigedienst Internet"; Ein zweites sorry für die Geduld, die Du mir mir hast. Danke Jochen |
... http://www.trojaner-board.de/forumdisplay.php?f=20 auf link gehen neues thema log "einfügen" erstellen ;) |
Hallo, das habe ich nun gemacht. Ich bin gespannt, was da rauskommt. Vielen Dank einstweilen. Gruss Jochen |
Bitte eröffne keine unnötigen Threads, sondern poste die Ergebnisse hier. Cobra |
@cobra :eek: ...hab ich ihm geraten, weils hier nich reingehört. :confused: |
@cotton, das ist zwar prinzipiell richtig, aber wie soll man das dann vom Kontext her zuordnen können? Da ist es weitaus besser, er postet es hier, wo es einen klaren Bezug hat. Cobra |
@hakim ... wichtig wäre (egal ob log oder nich) dass du ein aktuelles windows hast. deins is sevice pack 1! windowsupdate! ;) |
@ cotton sp2 wäre sicher wichtig. Hast Du auch verstanden, was ich sagen wollte? Immer mehr Threads zerfasern hier, und führen dazu, daß die Mods löschen oder zusammenführen müssen. Das muß doch nicht sein. Es wäre mir wichtig, daß die Leute das einfach mal verstehen. Cobra |
@ cobra ... ja. versteh schon ich dacht ja nur, da cacotoa meinte Zitat:
stimmt aber , was du meintst. ;) (bist ja auch der moderator *grins* und der hat ja sowieso immer recht(§1)) |
... und wie kommt's, dass mein post plötzlich nicht mehr da ist? Langsam bekomme ich Alpträume. Wer hzt den gelöscht??? Gruss Jochen |
Zitat:
Der Wunsch, den ich hier vertrete, wird mir dagegen von den Leuten vorgetragen, die hier die Hilfe leisten. Ich vertrete diese hier nur. Ich möchte Dich bitten, diesen Wunsch nicht wieder fröhlich-flockig zu kommentieren, sondern darauf in seiner Sache einzugehen. Cobra |
Zitat:
Cobra |
Hallo nochmal, ich war zwischzeitlich beim andaurnden Neustarten. Das mit dem Sp2 ist sicher gut, aber wo kriegt man den genau her? über Windows-update ist da nichts zu machen, weil man da von einer Seite auf die nächste gelangt und am Ende ist man wieder bei windows-update. Ich täte das sehr gern, wenn ich einen link habe, auf den ich klicke und downloade. Meinen post mit meinem scan finde ich nicht mehr. Weisst Du Rat? Und noch einen Rat brauche ich: wie schon vorher geschildert, kommt ständig eine Anzeigee, wie gerade wieder ("always on top") "Service Affichage des messages" (ich habe die französische Version. Der Text bedeutet Message-Anzeigedienst) "Message from "FROM" to "TO", dann kommt das genaue Datum und die Uhrzeit. Dann weiter: "STOP!WINDOWS REQUIRES IMMIDIATE ATTENTION Windows has found ....... To rid your computer ... 1. Download eAntiSpy from: www.pcfixusa.com 2. Install 3. Run... 4. Reboot. FAILURE TO ACT NOW MAY LEAD TO DATA CORRUPTION AND LOSS OF PERSONAL INFORMATION! Dann der "OK" Kasten. Wo steckt dieser Wurm? Wie kriegt man den weg? Dauerhaft?? Ist das "sys32.pif", den ich einfach nicht wegbekomme? Gruss Jochen |
Zitat:
Gruss Jochen |
Oben in diesem Thread, auf Seite 1. Ist ja auch nichts schlimmes, poste es einfach hier nochmal. Cobra PS: "es": Hijackthis-log |
Zitat:
Gruss aus Tunesien Jochen Logfile of HijackThis v1.99.1 Scan saved at 17:19:37, on 18/09/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\System32\inetsrv\inetinfo.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\dllhost.exe C:\WINDOWS\System32\inetsrv\DavCData.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ctfmon.exe C:\Program Files\a2\a2guard.exe C:\PROGRA~1\INCRED~1\bin\ImApp.exe C:\Program Files\Grisoft\AVG Free\avgemc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\Program Files\Grisoft\AVG Free\avgcc.exe C:\WINDOWS\system32\cidaemon.exe C:\WINDOWS\system32\cidaemon.exe C:\Program Files\Jap\jap.exe C:\Program Files\Java\j2re1.4.2_06\bin\javaw.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\system32\cmd.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\System32\sys32.pif C:\Program Files\Fichiers communs\Windows\services32.exe C:\WINDOWS\system32\cmd.exe C:\Program Files\Fichiers communs\services.exe C:\WINDOWS\system32\cmd.exe C:\Program Files\Fichiers communs\services.exe C:\WINDOWS\System32\dwwin.exe C:\Documents and Settings\@\Bureau\hijackthis_199\HijackThis.exe C:\Program Files\Fichiers communs\Windows\AutoIt3.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alltheweb.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: Shorty - {11A4CA8C-A8B9-49c2-A6D3-3F64C9EEBAE6} - C:\Program Files\DNS\Catcher.dll O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKLM\..\Run: [TrojanCheck Autostart] C:\Program Files\Trojancheck5\tc.exe -minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe" O4 - HKCU\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE O4 - HKCU\..\RunServices: [Windows System Security] sys32.pif O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O12 - Plugin for .bcf: C:\PROGRA~1\INTERN~1\Plugins\NPBelv32.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1125954929281 O17 - HKLM\System\CCS\Services\Tcpip\..\{75462BA6-5CAC-49AF-ACF0-CDA512DF8A3C}: NameServer = 193.95.122.40 193.95.93.77 O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe |
Hi Jochen, Du mußt Dich nicht entschuldigen. Du wusstest es nicht besser, ebensowenig wie Cotton. Hauptsache, ihr lernt daraus. ;) Dein Log ist wohl nicht sauber, denke ich: C:\WINDOWS\System32\sys32.pif Außerdem bist Du immer noch mit SP1 unterwegs. Ohje. Die Experten für solche Fälle rücken gleich nach. :) Cobra |
Zitat:
man lernt nie aus, sicher ich auch nicht. Danke für die vorläufige Hilfe. Und die Experten werden mir sicher verraten, wo ich den Sp2 auf Knopfdruck bekomme, ich habe Odysseen hinter mir. Was ist eigentlich mit der letzten Zeile in meinem Scan:"SystemStartupService". Weil ich immer diese Zettel bekomme, die sich wohl darauf beziehen. Danke für alles; Und wenn Du mal nach Tunesien kommst, melde Dich. email genügt. Gruss Jochen |
Zitat:
Zitat:
C:\Program Files\Fichiers communs\Windows\services32.exe C:\Program Files\Fichiers communs\services.exe Diese Dateien ebenfalls überprüfen. Beende bitte vor dem Hochladen die jeweils laufenden Prozesse in HijackThis (in HjT-> Mic Tools Section-> Open process manager-> Prozesse bei gedrückter "Strg-Taste" auswählen und "Kill process" anklicken-> Warnmeldung mit "Ja" beantworten.) Dann das Ergebnis der drei Dateien mittels "copy&paste" posten. BTW: Hast du vorhin schon etwas in HjT gefixt? *EDIT* Hi cacatoa :) |
Hallo, Jochen, bei dem was ich grad in Deinem Logfile sehe, möchte ich gerne Sicherheit haben. Deshalb bitte einen eScan genau nach Anleitung durchführen und das Ergebnis posten. Freunde dich schon mal mit dem Gedanken an, Dein System evtl. neu aufzusetzen. Aber wie gesagt - erst mal den eScan machen (dauert ca. eine Stunde) cacatoa edit: Servus Haui! :party: |
Hallo Haui45, das habe ich erledigt. Nur 3 sagen, es handele sich um einen Trojaner, sie haben allerdings verschiene Namen gegeben: Dr.Web: Downloader 3926 Kaspersky:Maxifiles h VBH 32: Maxifiles h Was nun? Ich habe AVG laufen und den alten Trojancheck 5 1. Soll ich den Kaspersky runterladen? 2. by the way: diese *.pif file werde ich nicht los. Ich habe ihn in der registry gelöscht, aber beim nächsten online-Gang ist er wieder da. Es muss doch möglich sein, dem irgendwie den Eintritt zu verwehren!!! Und 3. Und letzte Frage: Wie komme ich an Sp2 ran? Ich werde von einer auf die nächste Seite verwiesen und komme wieder da an, wo ich loslief: Microsoft update. Ich sehe, Du hast eine Schwäche für Katzen: hier ein Spruch: Wenn Du Mâuse fangen willst ist die Fellfarbe der Katze nebensächlich. Gruss aus Tunesien Jochen |
Poste bitte für alle drei Dateien die jeweiligen Ergebnisse: Zitat:
|
Da muss ich nochmal scannen |
Hallo Haui45, bei mir geht überhaupt nichts mehr. Ich lade gerade das scan-Programm runter und hoffe, dass ich damit klarkommer. Trotz AVG habe ich den "Sasser" bekommen, d.h. ich 60 Sekunden bis zum nächsten Mal. Bitte, wo bekomme ich den Sp2 her? Was Deine letzte Frage betrifft: Die 3 entdeckten Würmer hatte ich genannt. Soll ich einen neuen Scan machen? Gruss Jochen +++ ich bin bald am Ende |
Du solltest einen neuen Scan machen und die Ergebnisse posten. Du kannst auch eScan ausführen und die Ergebnisse posten. Oder du setzt das System gleich nach dieser Anleitung neu auf. |
starte mal in den abgesichtern modus Hilfe mit deaktivierter Systemwiederherrstellung. da kannste dann auch das *.pif file killen. BTW dabei kannste dann auch gleich den Escan machen. hier kannste des SP2 dloaden, oder kostenlos bestellen. http://www.microsoft.com/athome/secu...p/Default.mspx. Beim WIndowsupdate musste nur ganz link klicke, da kann man des SP2 auch irgendwoe runterladen. |
@Hakim Schau mal hier für den SP2 für XP - Rechte Seite 3/4 nach unten scrollen: http://www.winhelpline.info/forum/lastpostings.inc.php Gruß vom Zürichsee Peter |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:19 Uhr. |
Copyright ©2000-2025, Trojaner-Board