Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   mal wieder BDS/Agent.AY (https://www.trojaner-board.de/10257-mal-bds-agent-ay.html)

Sternenschwester 30.11.2004 17:41
mal wieder BDS/Agent.AY
 
Hallo ich hab ihn auch...
Und wär ihn gerne wieder los.

Mein hijackthis log ist:
Logfile of HijackThis v1.98.2
Scan saved at 11:25:30, on 30.11.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE
C:\PROGRAMME\AVWIN9X\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\UMSD TOOLS2.33\UMSD.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\PRECISIONTIME\PRECISIONTIME.EXE
C:\PROGRAMME\DATE MANAGER\DATEMANAGER.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 4.0 MY CUSTOM EDITION\CALCHECK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE
C:\PROGRAMME\ICQ\ICQ.EXE
C:\PROGRAMME\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS1982\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - U:\PROGRAMME\FLESHGET\FLASHGET\JCCATCH.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - U:\PROGRAMME\FLESHGET\FLASHGET\FGIEBAR.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVWIN9X\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [MSNSysRestore] C:\WINDOWS\SYSTEM\pc32.exe bg
O4 - HKLM\..\Run: [PLoader] c:\programme\umsd tools2.33\umsd.exe sys_auto_run C:\PROGRAMME\UMSD TOOLS2.33
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe
O4 - Startup: Ulead Photo Express Calendar Checker For My Custom Edition.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 My Custom Edition\CalCheck.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - U:\PROGRAMME\FLESHGET\FLASHGET\FLASHGET.EXE (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - U:\PROGRAMME\FLESHGET\FLASHGET\FLASHGET.EXE (file missing)
O9 - Extra button: Find &Mp3s - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - u:\programme\finder\mp3find.exe (file missing)
O9 - Extra 'Tools' menuitem: Planet.MP3Find - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - u:\programme\finder\mp3find.exe (file missing)
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = physik.uni-dortmund.de
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 129.217.129.42

Danke schon mal für jede Hilfe!

steveman 30.11.2004 19:04
Hi,

beende diesen Prozess und lösche ihn anschliesend manuell:

C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE

Fixe das:

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - U:\PROGRAMME\FLESHGET\FLASHGET\JCCATCH.DLL (file missing)

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - U:\PROGRAMME\FLESHGET\FLASHGET\FGIEBAR.DLL (file missing)

O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"

O4 - HKLM\..\Run: [MSNSysRestore] C:\WINDOWS\SYSTEM\pc32.exe bg

O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

O4 - Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - U:\PROGRAMME\FLESHGET\FLASHGET\FLASHGET.EXE (file missing)

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - U:\PROGRAMME\FLESHGET\FLASHGET\FLASHGET.EXE (file missing)

O9 - Extra button: Find &Mp3s - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - u:\programme\finder\mp3find.exe (file missing)

O9 - Extra 'Tools' menuitem: Planet.MP3Find - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - u:\programme\finder\mp3find.exe (file missing)

Sternenschwester 01.12.2004 10:45
Ganz vielen lieben Dank!

Ich hoffe es ist jetzt weg.

Mein log sieht jetzt so aus:

Logfile of HijackThis v1.98.2
Scan saved at 10:44:57, on 01.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAMME\AVWIN9X\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\UMSD TOOLS2.33\UMSD.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\PRECISIONTIME\PRECISIONTIME.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 4.0 MY CUSTOM EDITION\CALCHECK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ICQ\ICQ.EXE
C:\PROGRAMME\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS1982\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVWIN9X\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PLoader] c:\programme\umsd tools2.33\umsd.exe sys_auto_run C:\PROGRAMME\UMSD TOOLS2.33
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Startup: Ulead Photo Express Calendar Checker For My Custom Edition.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 My Custom Edition\CalCheck.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = physik.uni-dortmund.de
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 129.217.129.42

MountainKing 01.12.2004 11:25
Das hast du vergessen zu fixen:

O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"

Mach es am besten im abgesicherten Modus:

http://www.trojaner-board.de/63335-w...s-starten.html

oder beende zumindest den entsprechenden Prozess im Taskmanager vorher.

Sternenschwester 01.12.2004 11:37
:( Ich bin ihn immer noch nicht los.

Habe noch mal antivir drüberlaufen lassen und er findet den BDS/Agent.AY immer noch
:(

Was hab ich falsch gemacht?

/edit
sorry, hab die antwort nicht gesehn gehabt, werds versuchen
/edit

MountainKing 01.12.2004 11:45
cmesys dürfte mit BDS nichts zu tun haben. Wo genau wird es denn gefunden, in welcher Datei? Besorge dir mal www.clearprog.de und lösche die temporären Dateien (auch des IE).

Sternenschwester 01.12.2004 12:28
Ok, es scheint so, als wär er weg.
Vorher wars im Ordner C:\Programme\Gemeinsame Dateien\fbbpfllr\ddpdlfct
die datei hieß arnchfln.exe

Aber wegen dem anderen Ding...
:o Ich bin zu blöd in den abgesicherten Modus zu kommen. :o

Und noch ne Frage kann BDS/Agent.AY was damit zu tun gehbat haben, dass sich mein Rechner immer wieder beharrlich geweigert hat runter zu fahren?

MountainKing 01.12.2004 12:48
Wenn du es mit F8 nicht hinbekommst gibt es noch eine zweite Möglichkeit:

Start/ausführen/msconfig eingeben/Boot.ini/Haken bei SafeBoot machen

damit startet er beim nächsten Boot in den abgesicherten Modus, wenn du wieder in den normalen willst, Haken wieder rausnehmen.
Dass es mit dem herunterfahren etwas zu tun hat, glaube ich eigentlich nicht, das ist eher eine Krankheit älterer Windowsversionen in Kombination mit bestimmter hardware.
Schau mal hier:

http://www.windows-tweaks.info/html/...ide-win98.html

Tom59 01.12.2004 22:07
@Sternenschwester...

habe auch noch win98 :)

...schalte deinen PC ein und betätige unmittelbar danach die Taste "Strg"und halte sie eine Weile gedrückt bis der SW-Bildschirm erscheint...wähle dann im erscheinenden Menü "abgesicherter Modus"

lg


Tom59

Sternenschwester 02.12.2004 10:33
So, nachdem ich das "abgesicherte Modus" Problem auch hinbekommen hab, bin ich wohl alle ungebetenen Gäste los. :)

Ganz vielen lieben Dank an alle Helfer.

Um auch ganz sicher zu sein, hier noch mal mein aktuelles log-file:
Logfile of HijackThis v1.98.2
Scan saved at 10:31:38, on 02.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAMME\AVWIN9X\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\UMSD TOOLS2.33\UMSD.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\PRECISIONTIME\PRECISIONTIME.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 4.0 MY CUSTOM EDITION\CALCHECK.EXE
C:\PROGRAMME\ICQ\ICQ.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS1982\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVWIN9X\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PLoader] c:\programme\umsd tools2.33\umsd.exe sys_auto_run C:\PROGRAMME\UMSD TOOLS2.33
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Startup: Ulead Photo Express Calendar Checker For My Custom Edition.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 My Custom Edition\CalCheck.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = physik.uni-dortmund.de
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 129.217.129.42 :) :)

cacatoa 02.12.2004 10:44
Na, mir gefällt das aber gar nicht:
Das
und das
Deshalb schnellsten im abgesicherten Modus mit HJT fixen:
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [internat.exe] internat.exe
und neues Logfile posten.

außer dem einen escan durchführen (mwav.exe runterladen, in einen von dir erstellten Ordner C:\bases entpacken, updaten (kavupd.exe) und scannen lassen (mwavscan.com). Dabei alle Häkchen nach dieser Anleitung setzen.
Das Ergebnis bitte ebenfalls hier rein posten (..."Öffne die mwav.log -> Bearbeiten -> Suchen -> infected und/oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen...)
cacatoa

Sternenschwester 02.12.2004 12:50
Tja, also, da hab ich ein kleines Problem :o
Hab escan runtergeladen, entpackt, aktualisiert, bin in den abgesicherten Modus gegangen und habs gestartet. Und die Meldung meines Rechners war: Nicht genügend Arbeitsspeicher!

Was mach ich jetzt? :dummguck:

Ach so, hab die beiden anderen im abgesicherten Modus gefixt und das ist jetzt mein log:

Logfile of HijackThis v1.98.2
Scan saved at 12:49:00, on 02.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\AVWIN9X\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\UMSD TOOLS2.33\UMSD.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\PRECISIONTIME\PRECISIONTIME.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 4.0 MY CUSTOM EDITION\CALCHECK.EXE
C:\PROGRAMME\ICQ\ICQ.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\PROGRAMME\HIJACKTHIS1982\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVWIN9X\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PLoader] c:\programme\umsd tools2.33\umsd.exe sys_auto_run C:\PROGRAMME\UMSD TOOLS2.33
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Startup: Ulead Photo Express Calendar Checker For My Custom Edition.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 My Custom Edition\CalCheck.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = physik.uni-dortmund.de
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 129.217.129.42

*Christian* 02.12.2004 20:49
Fixe noch dies:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Ansosnten schauts sauber aus.

Sternenschwester 03.12.2004 10:19
Hab die beiden gefixt.

Schade, dass sich escan weigert. Naja, ist halt ne alte Möhre das hier.

Ganz lieben Dank!

Bin dann jetzt wohl sauber:
Logfile of HijackThis v1.98.2
Scan saved at 10:15:41, on 03.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\AVWIN9X\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\UMSD TOOLS2.33\UMSD.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\PRECISIONTIME\PRECISIONTIME.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 4.0 MY CUSTOM EDITION\CALCHECK.EXE
C:\PROGRAMME\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\PROGRAMME\ICQ\ICQ.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\HIJACKTHIS1982\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...07&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVWIN9X\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PLoader] c:\programme\umsd tools2.33\umsd.exe sys_auto_run C:\PROGRAMME\UMSD TOOLS2.33
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Startup: Ulead Photo Express Calendar Checker For My Custom Edition.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 My Custom Edition\CalCheck.exe
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = physik.uni-dortmund.de
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 129.217.129.42

Shadowdance 05.12.2004 21:20
Hallo Sternenschwester,

lade zuerst das ClearProg runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf. Damit bekommst Du etwas Freiraum auf dem Rechner.

Starte dann den eScan nochmal .. wie in der Anleitung vorgegeben. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD

Sternenschwester 06.12.2004 12:41
Hi, das clear prog hatte ich zu dem zeitpunkt eigentlich gerade ausgeführt. Ich könnte mir aber vorstellen, dass noch andere Leute temporäre internet files auf diesem Rechner haben. Ich benutze diesen Rechner nicht allein. An deren Sachen komm ich aber nicht ran, denk ich...

cacatoa 06.12.2004 13:33
Geh bei clearprog auf "alles löschen".

Sternenschwester 06.12.2004 13:49
Werds versuchen...
Aber wieso hat das was mit dem Arbeitsspeicher zu tun?
Liegen diese temporären Dateien nicht einfach nur auf der Festplatte rum und nehmen da Platz weg?

Hm, ist alles weg waren aber nur noch 158kB...

cacatoa 06.12.2004 13:54
Hallo, sternenschwester,
hau dich mal bei google rein und schau zu Temp, temporary internet files, history, content IE5 usw..
Du hast kleinste Verweisdateien im Arbeitsspeicher/Cache, während die Dateiinhalte woanders liegen können.

Sternenschwester 06.12.2004 14:04
Ok, verstehe.
Ich hab jetzt "alles löschen" gewählt und alles gelöscht.
Das Ergebnis bleibt aber das gleiche: "Nicht genügend Arbeitsspeicher" :(

cacatoa 06.12.2004 14:17
Bitte stell mal noch ein aktuelles Logfile rein, möchte so viel wie möglich sehen. Müssen wir halt in Handarbeit was tun. Wieviel es hilft, weiß ich jetzt noch nicht.

Sternenschwester 06.12.2004 16:42
Ok, hier das aktuelle log-file:

Logfile of HijackThis v1.98.2
Scan saved at 16:40:25, on 06.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\AVWIN9X\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\UMSD TOOLS2.33\UMSD.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\PRECISIONTIME\PRECISIONTIME.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 4.0 MY CUSTOM EDITION\CALCHECK.EXE
C:\PROGRAMME\ICQ\ICQ.EXE
C:\PROGRAMME\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\HIJACKTHIS1982\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVWIN9X\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PLoader] c:\programme\umsd tools2.33\umsd.exe sys_auto_run C:\PROGRAMME\UMSD TOOLS2.33
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Startup: Ulead Photo Express Calendar Checker For My Custom Edition.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 My Custom Edition\CalCheck.exe
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = physik.uni-dortmund.de
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 129.217.129.42

cacatoa 06.12.2004 22:06
Also, ich kann nur sagen:
Wenn du dies: C:\PROGRAMME\UMSD TOOLS2.33\UMSD.EXE kennst und brauchst, und deine Domain die Uni Dortmund mit Ihrem server ist, (was ich gerade gecheckt habe), dann ist alles o.k. und keine verbotenen Prozesse laufen.

Sternenschwester 08.12.2004 10:46
Danke, für die liebe Hilfe.

Ich hoffe ich werd sie nicht so bald wieder benötigen. :)

Sternenschwester 16.12.2004 13:21
Tja, zu früh gefreut.

Ich habe heute mein AntiVir upgedatet und dann hat er bei der folgenden Suche den BDS/Agent.AY schon wieder gefunden.
Die dazugehörige Datei heißt ezstub.exe und findet sich im Ordner c:\Programme\Gemeinsame Dateien\GMT.

Zusätzlich war noch PMS/Adware.StatBlas drauf (das ließ sich aber durch einaches löschen beseitigen)

Mein hjt logfile sieht so aus:

Logfile of HijackThis v1.99.0
Scan saved at 11:56:59, on 16.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\UMSD TOOLS2.33\UMSD.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\PRECISIONTIME\PRECISIONTIME.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 4.0 MY CUSTOM EDITION\CALCHECK.EXE
C:\PROGRAMME\ICQ\ICQ.EXE
C:\PROGRAMME\AVWIN9X\UPDATE\ANTIVIR_WORKSTATION_WIN_DE_H.EXE
C:\WINDOWS\TEMP\WZSE0.TMP\DISK_1\SETUP.EXE
C:\PROGRAMME\AVWIN9X\AVWIN.EXE
C:\PROGRAMME\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\PROGRAMME\MICROCAL\ORIGIN 6.0\ORIGIN60.EXE
C:\WINDOWS\SYSTEM\KC9XCR32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
P:\PROGRAMME\CVI5.5\CVI.EXE
C:\PROGRAMME\HIJACKTHIS1982\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVWIN9X\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PLoader] c:\programme\umsd tools2.33\umsd.exe sys_auto_run C:\PROGRAMME\UMSD TOOLS2.33
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Startup: Ulead Photo Express Calendar Checker For My Custom Edition.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 My Custom Edition\CalCheck.exe
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = physik.uni-dortmund.de
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 129.217.129.42

Hat noch irgendwer irgendwelche neuen Ideen, wie ich dieses Mistvieh loswerden könnte. So lagnsam geht mir das nämlich echt auf den Senkel!

MountainKing 16.12.2004 15:57
Dein Problem ist in erster Linie Adware, die du dir selber installiert hast. Precisiontime gehört beispielsweise dazu, du solltest das deinstallieren, GMT gehört wiederum zu GAIN/GATOR, ebenfalls Adware und ebenfalls zu deinstallieren. Bei aus dem Netz heruntergeladenen Programmen immer erst vorher informieren, ob sie Adware enthalten.

Scanne dein System danach mal mit Adaware und Spybot.

Sternenschwester 16.12.2004 17:18
Ich werd mein möglichstes beim Deinstallieren tun.
Das Problem ist, dass ich nix von dem selber installiert hab, da das hier ein Unirechner ist, der auch von anderen benutzt wird.
Ich weiß also nicht, was sich hier so alles drauf befindet.
Werde aber mein möglichstes tun um den Schrott wieder loszuwerden. Und dann häng ich hier Installations-Verbotsschilder auf! :)

Sternenschwester 16.12.2004 17:27
precisiontime ist weg
gmt konnte ich bei der Software nicht finden, habe aber, wie mir schon weiter unten geraten wurde die .exe schon vor einer ganzen Weile entfernt.

Die beiden scans werd ich morgen durchführen, da dies wie gesagt mein Arbeitsrechner ist und ich jetzt Feierabend mache.

Aber Danke schon mal für den Rat.

MountainKing 16.12.2004 17:28
Ah, das erklärt natürlich so einiges. Solange du nicht alle Benutzer dazu anhalten kannst, grundlegende Dinge zu beachten, wirst du hier regel,äßiger Gast bleiben (was ja nicht schlecht ist :-)). Da wäre ein Betriebssystem mit mehreren Benutzerkonten wie Xp natürlich vorteilhaft.

Sternenschwester 17.12.2004 13:46
Ok, also AdAware hat über 400 kritische Objekte gefunden.

Und ich muss leider gestehen, dass ich keine Ahnung hab, was ich davon entfernen sollte.
Ich geb hier mal die Liste der Target families an und hoffe, dass das schon mal weiterhilft:
MRU List (17 Objects Total)
Claria (25 Objects Total)
Cydoor (2 Objects Total)
DSS Agent (8 Objects Total)
Ezula (234 Objects Total)
MainPean Dialer (10 Objects Total)
Alexa (2 Objects Total)
Tracking Cookie (144 Objects Total)

und Gast bin ich hier gerne, ich verfolge mit großem Interesse auch die Threads anderer Leute und hoffe dabei ein wenig zu lernen.

Shadowdance 17.12.2004 14:37
Hallo Sternenschwester,

verlass Dich auf das Programm Ad-aware und lass alle Probleme auf Deinem Rechner beheben.

SD

Sternenschwester 17.12.2004 15:32
Heißt das ich soll sämtliche kritische Objekte in Quarantäne packen?

Shadowdance 17.12.2004 16:17
@ Sternenschwester

Zitat:
Zitat von Sternenschwester
Heißt das ich soll sämtliche kritische Objekte in Quarantäne packen?
es wäre anzuraten.

SD

Sternenschwester 17.12.2004 16:32
*argl* Ich gebs für heute auf!

Morgen vielleicht mehr von der Front
:snyper:

:D

Sternenschwester 18.12.2004 13:03
Die kritischen Objecte sind entfernt, ich geh jetzt in die Weihnachtsferien und meld mich dann im neuen Jahr mit dem aktuellen Stand der Dinge wieder.

Ich wünsche allen ein frohes Fest und einen guten Rutsch.

.:NL2:. 31.12.2004 04:22
grrrr...
son mist ich habe ihn jetzt auch RMS/Adware.StatBlas.

Ich denke das ich ihn von icq VPlus.exe habe ...


*schluchtz* dabei wollte ich doch nur meinen skin ändern und jetzt das.....


Wie werde ich ih zu 100% wieder los?? :snyper:

Shadowdance 31.12.2004 18:15
@ .:NL2:.

am besten einen eigenen Thread aufmachen, damit die Threads übersichtlich bleiben. Und dann erstmal ein Hijack This Logfile erstellen http://www.trojaner-board.de/51130-a...ijackthis.html und es mittels copy&paste posten.

SD

Sternenschwester 14.01.2005 15:58
So!

Allen ein gutes neues Jahr!

Ich hab den einfachen Weg gewählt und einfach den Rechner gegen einen anderen ausgetauscht, den ich einfach paltt machen und neu aufsetzten durfte.

Ich hoffe ihn sauber halten zu können. Ich habe Win2k drauf sämtliche updates ausgeführt iexplorer und outlook durch mozilla ersetzt und antivir und zonealarm installiert und benutze ein Benutzerkonto, das keine Administratorrechte hat.
Hab ich etwas wesentliches vergessen, oder ist der Rechner jetzt so sicher wie möglich?
Ichhab hier auf jeden Fall eine Menge über Rechnersicherheit gelernt. Allen einen riesigen Dank dafür und ein großes Lob dafür, dass es Leute gibt die anderen ganz kostenlos und uneigennützig so eine große Hilfe sind!


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:32 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130