|
pop ups von Strippoker und Spyware-Info Hallo allerseits. Hoffe ihr könnt mir weiterhelfen: Es öffnen sich verschiedene Pop up's vorallem einer Strippoker-Seite und eine Meldung "your computer might be at risk"! Habe mit HJT bereits einiges versucht, und immer, wenn ich glaube alles erwischt zu haben, beginnt es von neuem. Hier meine HJT-Log: Logfile of HijackThis v1.98.2 Scan saved at 13:54:04, on 13.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\Programme\Analog Devices\SoundMAX\SMTray.exe C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Microsoft Office\Office\FINDFAST.EXE C:\Programme\Microsoft Office2000\Office\1031\OLFSNT40.EXE C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE C:\Programme\Compaq\Easy Access Button Support\CPQEADM.EXE C:\Compaq\EAKDRV\EAUSBKBD.EXE C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe C:\WINDOWS\System32\pingnet.exe C:\WINDOWS\System32\odcfg.exe C:\WINDOWS\explorer.exe C:\Programme\Microsoft Office\Office\OUTLOOK.EXE C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Rep\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office2000\Office\1031\OLFSNT40.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\Autodesk Map 5 - Deu\InstFred.ocx O16 - DPF: {33288993-5664-11D4-8B5B-00D0B73B3518} - O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://www.ibm.com/pc/support/access/sdccommon/download/IbmEgath.cab O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\Autodesk Map 5 - Deu\AcDcToday.ocx O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\Autodesk Map 5 - Deu\InstBanr.ocx O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\Autodesk Map 5 - Deu\AcPreview.ocx |
Hallo finke, lies mal bitte folgenden Beitrag und führe die genannten Schritte aus: http://www.trojaner-board.de/showpos...7&postcount=13 |
Hmm...peinlich. Aber diesen PC krieg ich nicht in den abgesicherten Modus. Windows XP Professional, Netzwerk PC, habe Administratorrecht. F8-Taste will ich ja die ganze Zeit drücken, aber der Bildschirm zeigt nie den gewünschten Text an beim aufstarten. ??? |
Das BSI nennt hier eine alternative Methode: http://www.bsi.bund.de/av/texte/wiederher_xp.htm |
Probier mal die alternative Möglichkeit über msconfig: http://www.bsi.bund.de/av/texte/wiederher_xp.htm |
Super... also hier die geballte Ladung: Microsoft Windows XP [Version 5.1.2600] C:\WINDOWS\system32 "Files found" --------------------------------------------------------------------- Zipping files............ --------------------------------------------------------- deleting files........ --------------------------------------------------------- "Files Not Deleted" --------------------------------------------------------------------- Checking for version 2 files.......... Files Found ------------------------------------------------------------ pingnet.exe odcfg.exe netcgf.dll Zipping files............ --------------------------------------------------------- deleting files........ --------------------------------------------------------- Files Not deleted ------------------------------------------------------------ Merging registry entries ----------------------------------------------------------------- The Registry Entries Found... ----------------------------------------------------------------- Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Files] "taskrun.exe"="" "trayinfo.exe"="" "subsys.exe"="" "spoolsvc.exe"="" "smlogvcc.exe"="" "sessngr.exe"="" "rsvxp.exe"="" "rsn.exe"="" "rexecs.exe"="" "resrvc32.exe"="" "rcip.exe"="" "proxyconf.exe"="" "powerconf.exe"="" "pingnet.exe"="" "dnsping.exe"="" "odcfg.exe"="" "netstart.exe"="" "netdns.exe"="" "getdns.exe"="" "msswchxp.exe"="" "msng.exe"="" "msinfo.exe"="" "netssl.exe"="" "netdetect.exe"="" "sfcver.exe"="" "netcgf.dll"="" "netcfg.dll"="" "odbcfg32.dll"="" "p2pserv.dll"="" "clfmon.exe"="" "netssh.exe"="" "syspack.dll"="" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes] "taskrun.exe"="" "trayinfo.exe"="" "subsys.exe"="" "spoolsvc.exe"="" "smlogvcc.exe"="" "sessngr.exe"="" "rsvxp.exe"="" "rsn.exe"="" "rexecs.exe"="" "resrvc32.exe"="" "rcip.exe"="" "proxyconf.exe"="" "powerconf.exe"="" "pingnet.exe"="" "dnsping.exe"="" "odcfg.exe"="" "netstart.exe"="" "netdns.exe"="" "getdns.exe"="" "msswchxp.exe"="" "msng.exe"="" "msinfo.exe"="" "netssl.exe"="" "netdetect.exe"="" "sfcver.exe"="" "clfmon.exe"="" "netssh.exe"="" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys] "{98DBBF16-CA43-4c33-BE80-99E6694468A4}"="" "{E9590744-812B-46C3-96EB-33212855927D}"="" "Files"="" "Ms4Hd"="" "Processes"="" "RegKeys"="" "RegValues"="" "Vendor"="" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues] "clfmon.exe"="" "netssh.exe"="" "sessngr.exe"="" "spoolsvc.exe"="" ----------------------------------------------------------------- Done und HJT-Log: Logfile of HijackThis v1.98.2 Scan saved at 15:44:42, on 13.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\SoundMAX\SMTray.exe C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\Microsoft Office\Office\FINDFAST.EXE C:\Programme\Microsoft Office2000\Office\1031\OLFSNT40.EXE C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE C:\Programme\Compaq\Easy Access Button Support\CPQEADM.EXE C:\Compaq\EAKDRV\EAUSBKBD.EXE C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Rep\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office2000\Office\1031\OLFSNT40.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\Autodesk Map 5 - Deu\InstFred.ocx O16 - DPF: {33288993-5664-11D4-8B5B-00D0B73B3518} - O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://www.ibm.com/pc/support/acces...d/IbmEgath.cab O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\Autodesk Map 5 - Deu\AcDcToday.ocx O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\Autodesk Map 5 - Deu\InstBanr.ocx O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\Autodesk Map 5 - Deu\AcPreview.ocx |
Fixe mit HijackThis noch folgendes: Zitat:
|
OK...Hoffe, das wars... Von mir aus, dürfte es langsam bereinigt sein. Danke an Lutz...hoffe, du gehst heute mit dem Wissen schlafen, dass du ein Held bist! |
Wenn wieder alles im grünen Bereich ist, kannst Du nun noch ein bisschen aufräumen. Die Dateien C:\bad.reg, C:\bad.zip und c:\log.txt kannst Du nun löschen. Außerdem sollten sich unter C:\windows\system32 folgende Dateien befinden, die ebenfalls gelöscht werden können: 1. rem.bat vom 4.12.2004 (Größe 30KB) und 2. zip.exe vom 21.12.1999 (Größe 124 KB) |
Hallo Zusammen, habe mir wie finke auch diese läßtige Meldung: "Your Computer might bi at risk" eingefangen. Ausserdem versucht sich mein Rechner permanent ins Internet einzuwählen. Bin relativ ratlos und bitte dringend um Hilfe!! Danke im Voraus. Gruß TOBY2 Anbei die LOG-files: Files Found................. ---------------------------------------- unlodctl.exe spnping.exe qappsrvc32.exe openconf.exe nlsfuncs.exe dx9vbc.dll dnsauth.dll taskopen.exe iecust.dll iecust.exe Files Not deleted................. ---------------------------------------- Merging registry entries ----------------------------------------------------------------- The Registry Entries Found... ----------------------------------------------------------------- Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting ----------------------------------------------------------------- hddc.dll msde.dll msi.dll msij.dll Finished ______________________________________________________ Logfile of HijackThis v1.99.0 Scan saved at 14:26:49, on 04.01.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\rvs_cent.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Mixer.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\PROGRA~1\WinPatrol.exe C:\WINDOWS\System32\winuptd.exe C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Dietmar Korb\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/ O2 - BHO: (no name) - {48B150BD-0431-40F7-83A3-87EA4FEEC33E} - C:\WINDOWS\System32\msij.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [taskopen.exe] taskopen.exe O4 - HKLM\..\Run: [WinPatrol] "c:\PROGRA~1\WinPatrol.exe" O4 - HKLM\..\Run: [winuptd.exe] winuptd.exe O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: MedionShop - {543CDDE7-DF47-47DD-9339-0B023AC5DCA8} - http://www.medionshop.de (file missing) (HKCU) O16 - DPF: {C94BFF60-7315-11D2-A844-0060086FEFD7} (Internet Banking und Brokerage) - http://www.izb-hb.de/SPK_Kronach/SBrokerageinstV19.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1018A287-D443-4597-AD64-96E248B4884B}: NameServer = 69.50.166.94,69.31.80.244 O17 - HKLM\System\CCS\Services\Tcpip\..\{9C98A635-6FB9-4C9E-A97F-073F8D3FD85E}: NameServer = 69.50.166.94,69.31.80.244 O17 - HKLM\System\CCS\Services\Tcpip\..\{EDADDD24-F1CB-48B2-AB89-7A6C52A4FC07}: NameServer = 69.50.166.94,69.31.80.244 O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: RVS CAPI - RVS Datentechnik GmbH, München - C:\WINDOWS\system32\rvs_cent.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
Liste der Anhänge anzeigen (Anzahl: 1) Hallo Lutz, ich habe genau das selbe Problem. Wollte auch schon selbst anfangen zu fixen, war mir am Ende dann doch zu gefährlich.:dummguck: Also sende ich Dir mal eben die HJT und die log.txt aus rem.bat. Hoffe Du kannst mir da auf die schnelle behilflich sein. Danke schonmal für die Mühe. Gruß HM479 Files Found................. ---------------------------------------- run_dos.dll rdspclips.exe sethcd.exe smbdins.exe sprestrst.exe tsmsetup.exe upncont.exe wowdbe.exe iesp2.dll Files Not deleted................. ---------------------------------------- Merging registry entries ----------------------------------------------------------------- The Registry Entries Found... ----------------------------------------------------------------- Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting ----------------------------------------------------------------- msi.dll Finished Logfile of HijackThis v1.99.0 Scan saved at 14:28:09, on 12.02.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe D:\Programme\Norton Internet Security\ISSVC.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe D:\winarbor\dbisam\dbsrvr.exe C:\PROGRA~1\Iomega\System32\AppServices.exe D:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Iomega\AutoDisk\ADService.exe C:\WINDOWS\Explorer.EXE C:\Programme\Iomega\AutoDisk\ADUserMon.exe D:\programme\DriveIcons\ImgIcon.exe C:\Programme\Companion Suite Pro LM\MFPrintServer.exe C:\PROGRA~1\COMPAN~2\ONETOU~3.EXE C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe D:\Programme\Common\ibackup.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\Mozilla Firefox\firefox.exe D:\Eigene Dateien\Download\hijackthis_199\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {5192385D-8F68-458E-8892-5087B10AE250} - C:\WINDOWS\System32\qwsxp.dll O2 - BHO: Name - {7EE1AE60-CC97-4A38-9F89-791A7F4DC746} - C:\WINDOWS\System32\msvpo.dll O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iesp2.dll (file missing) O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe O4 - HKLM\..\Run: [Iomega Drive Icons] d:\programme\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [Deskup] d:\programme\DriveIcons\deskup.exe /IMGSTART O4 - HKLM\..\Run: [Iomega Automatic Backup 1.0.1] D:\Programme\Common\ibackup.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [MFServices] "C:\Programme\Companion Suite Pro LM\MFServices.exe" -n O4 - HKLM\..\Run: [MFPrintServer] "C:\Programme\Companion Suite Pro LM\MFPrintServer.exe" O4 - HKLM\..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [OneTouch Monitor] C:\PROGRA~1\COMPAN~2\ONETOU~3.EXE O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [rdspclips.exe] rdspclips.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [Iomega Automatic Backup] D:\Programme\Common\ibackup.exe O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Startup: Verknüpfung mit bclient.lnk = D:\bclient\bclient.exe O4 - Startup: Verknüpfung mit faxserv.lnk = D:\winarbor\faxserv.exe O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/bi.../GoogleNav.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{29F1F563-6934-438B-B244-542F3CA71A86}: NameServer = 69.50.188.180 195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{67F0B3CC-C713-4CFF-B1C8-3234D394BAFB}: NameServer = 69.50.188.180,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{85F70CCE-44B6-43F8-B0BF-06F6E56F41AC}: NameServer = 69.50.188.180,195.225.176.31 O18 - Filter: text/html - {F5CE9DB9-2F8B-456F-A69B-142C22BBFA8C} - C:\WINDOWS\System32\qwsxp.dll O18 - Filter: tœ†5ò]DÆR - {F5CE9DB9-2F8B-456F-A69B-142C22BBFA8C} - C:\WINDOWS\System32\qwsxp.dll O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: DBISAM Database Server - DBSRVR - Elevate Software - D:\winarbor\dbisam\dbsrvr.exe O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe Rest hab ich rausgelassen, ist von Norton IS (Platzmangel) |
Hallo HM479, Ursache Deiner Probleme dürfte u.a. diese hier sein: Zitat:
Einige der 04-Einträge sehen nicht gut aus! Mach mal einen Scan mit eScan (siehe Signatur) und poste anschließend, was gefunden wurde. Öffne dazu die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. Falls dort nichts 'weiteres' besorgniserregendes' gefunden wird, können wir eine Bereinigung versuchen |
Nach langem herunterladen hab ich es endlich geschafft, einen scan mit escan durchzuführen. :aplaus: Was ich nicht so ganz verstehe: Ich habe mir vor zwei Wochen von Norton den Internet Security 2005 zugelegt und hatte auch vorher Norton AntiVir drauf und alles aktualisiert. Und trotzdem schleichen sich solche Mistviecher bei mir ein!!! :koch: Ist Norton nicht sicher genug?? Denn ich habe mittlerweile des öfteren gehört, das Norton in punkto sicherheit ziemlich nachgelassen haben soll?? Oder muß man sich jetzt schon mit mehreren Scannern einpacken was für mich unlogisch erscheint, denn wer alles legal mit Wartungsvertrag erwerben will, bezahlt sich dann doch dumm und dusselig. Also, hier die gefundenen Files: Sat Feb 12 19:13:34 2005 => File C:\WINDOWS\System32\qwsxp.dll infected by "Trojan-Clicker.Win32.Agent.br" Virus. Action Taken: No Action Taken. Sat Feb 12 19:13:49 2005 => File C:\WINDOWS\System32\qwsxp.dll infected by "Trojan-Clicker.Win32.Agent.br" Virus. Action Taken: No Action Taken. Sat Feb 12 19:14:19 2005 => File C:\WINDOWS\System32\bling.exe infected by "Backdoor.Win32.Rbot.da" Virus. Action Taken: No Action Taken. Sat Feb 12 19:14:44 2005 => File C:\WINDOWS\System32\iesp2.dll infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: No Action Taken. Sat Feb 12 19:15:18 2005 => File C:\WINDOWS\System32\od-stnd807.exe infected by "Trojan.Win32.DNSChanger.e" Virus. Action Taken: No Action Taken. Sat Feb 12 19:22:55 2005 => File C:\eied_s7.cab infected by "Trojan-Downloader.Win32.Mediket.s" Virus. Action Taken: No Action Taken. Sat Feb 12 19:22:55 2005 => File C:\info6_s.cab infected by "Trojan.Win32.Dialer.t" Virus. Action Taken: No Action Taken. Sat Feb 12 19:27:15 2005 => File C:\Programme\Iomega\AutoDisk\Setup_deu.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sat Feb 12 19:27:16 2005 => File C:\Programme\Iomega\System32\Win2kDrivers.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. |
Wenn, wie in Deinem Fall, eine RBot-Variante gefunden wird Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:29 Uhr. |
Copyright ©2000-2024, Trojaner-Board