|
neue nicht identifizierbare exen Ungewöhnlich hohe speichernutzung Nach hochfahren der pc liegt die speichernutzung bei ca. 250 000kb Und seit gestern hab ich da 3 exen im prozess, die mir absolut nix sagen -> MediaAccess.exe. / MeidiaAccK.exe & ups die hab ich vorhin von hand gelöscht (prozess beenden im taskman.) rifrrm.exe oder so ähnlich Logfile of HijackThis v1.99.1 Scan saved at 23:21:01, on 20.04.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe C:\WINNT\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINNT\system32\regsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINNT\system32\internat.exe C:\Programme\Netropa\Onscreen Display\OSD.exe c:\winnt\system32\wshield.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\WINNT\explorer.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\Program Files\Media Access\MediaAccK.exe C:\Program Files\Media Access\MediaAccess.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\hijack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/service/redir/ie_t-online.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Programme\ShopperReports\Bin\1.0.5.0\ShprRprt.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programme\ISTbar\istbarcm.dll (file missing) O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [element furth] c:\winnt\system32\repcale.exe c:\winnt\system32\palsp.exe O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe O4 - HKLM\..\Run: [drcXq] C:\WINNT\hibce.exe O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [rifr] C:\PROGRA~1\COMMON~1\rifr\rifrm.exe O4 - Startup: BGKalender.lnk = ? O4 - Global Startup: HPAiODevice.lnk = C:\Programme\Hewlett-Packard\hp psc 700 series\bin\hpodev07.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Programme\ShopperReports\Bin\1.0.5.0\ShprRprt.dll O9 - Extra button: ShopperReports - Compare product prices - {E77EDA01-3C56-4a96-8D08-02B42891C169} - C:\Programme\ShopperReports\Bin\1.0.5.0\ShprRprt.dll O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O15 - Trusted Zone: http://ny.contentmatch.net (HKLM) O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62...bridge-c10.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12198c2f...dxIE601_de.cab O16 - DPF: {B020B534-4AA2-4B99-BD6D-5F6EE286DF5C} (Symantec Download Bridge) - http://www2.service.t-online.de/dyn/...5/2334156.html O17 - HKLM\System\CCS\Services\Tcpip\..\{C72B3FC2-7279-4F38-971C-2F61796FC1DD}: NameServer = 217.237.150.33 217.237.151.161 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe Kann man daraus etwas ersehen ?????? grüßels Jürgen (derleu) |
Hallo derleu, führe bitte dies mal aus: 1. Downloade Dir escan und befolge genau diese Anleitung (Ordner „C:\base_x“ erstellen, die „mwav.exe“ dorthin entpacken, mit „kavupd.exe“ updaten. Scan IM ABGESICHERTEN MODUS dauert etwa eine Stunde), http://www.systemwiederherstellung-d...indows-xp.html 2. leere den Quarantäne-Ordner von Norton 3. nimm eine Datenträgerbereinigung vor (Start/ausführen/cleanmgr eingeben/ alle Temp-Ordner leeren und alle Offlineinhalte löschen) 4. starte nach dem Scan wieder in den normalen Modus dauert, 5. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen" 6. gebe dann "infected" ein, 7. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum, 8. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten. Beispiel: Wed Feb 02 19:48:56 2005 => Total Files Scanned: Wed Feb 02 19:48:56 2005 => Total Virus(es) Found: . . . . dartus |
Hallo! Identifiziere die folgenden Dateien: c:\winnt\system32\wshield.exe C:\Program Files\Media Access\MediaAccK.exe C:\Program Files\Media Access\MediaAccess.exe c:\winnt\system32\repcale.exe c:\winnt\system32\palsp.exe C:\WINNT\hibce.exe C:\PROGRA~1\COMMON~1\rifr\rifrm.exe Alle Dateien bitte hier prüfen: http://www.kaspersky.com/de/scanforvirus Ergebnisse bitte hier im Board posten. Hinweis: Einige Einträge deuten darauf hin, dass sich ein Dialer auf deinem System befinden könnte. Dieser wäre zu sichern, falls du über ISDN oder Analog ins Netz gehst. |
Hallo mmk, diese Dateien sah ich auch, daher mein Rat einen Escan (ist ja auch von Kaspersky) durchzuführen. Mit Sicherheit steckt da noch wesentlich mehr in diesem System. dartus |
Zitat:
Zitat:
|
Die MediaAcccess Einträge sind definitiv Adware: http://www.liutilities.com/products/...y/mediaaccess/ |
Zitat:
|
Zitat:
Aber es gib ja auch noch www.malwareupload.com. :) |
Zitat:
Bei jotti - und auch bei Virustotal - ist es nur hin und wieder der Fall, dass nichts mehr hochgeladen werden kann. Daher der Hinweis auf Kaspersky direkt. Inwiefern ggf. weitere Prüfungen unternommen werden sollten, zeigen ja dann die einzelnen Prüfergebnisse. Nichts desto weniger stellen natürlich jotti wie auch virustotal gute Werkzeuge für eine Dateiprüfung dar, keine Frage. |
Stimme dir zu, keine Frage ;) |
hi, danke für die vielen lösungen. Hab mir die dinger vorgestern eingefahren und zwar bei nem relativ harmlosen link, suchte pics von einem 9.3er Saab cabrio und fand bei google unter anderem dieses suchergebnis: SAAB 9-3 Cabrio pictures - SAAB 9-3 Cabrio photos - SAAB 9-3 ... - [ Diese Seite übersetzen ]SAAB 9-3 Cabrio pictures, SAAB 9-3 Cabrio photos, SAAB 9-3 Cabrio pics. carpictures.duble.com/picturesphotospics/ saab93cabriopicturesphotospics.htm - 8k - Im Cache - Ähnliche Seiten Als ich den anklickte gingen etliche werbepopups auf mit div download popups, die ich allerdings alle verweigert habe. Danach waren die dinger drauf. Habs mit ProzessExplorer versucht, also die exe reagierte auf den killversuch nicht. Habs manuell im Taskmanager probiert (prozess beenden) ging auch nicht. Hab anschliessend noch adware durchlaufen lassen und danach norton antivir, die MediaAccess exen liessen sich aber damit nicht löschen. Nuin werd ichs halt mal so probieren. Danke für die tips. |
Achso, sollte man evt. google informieren????? grüßels jürgen |
Poste bitte den eScan Scanreport! |
Zitat:
<script language="javascript" type="text/javascript" src="h**p://static.windupdates.com/prompts/a677a17a/a679af76.js"></script> Von static.windupdates.com kommt nur Müll. |
hi gibt es nun die daten, die hier verlangt werden, oder nicht ? http://www.trojaner-board.de/showpos...61&postcount=3 denn diese datei interessiert mich schon wshield.exe |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:35 Uhr. |
Copyright ©2000-2024, Trojaner-Board