|
unsichtbarer Plagegeist Als neues Boardmitglied begrüße ich erstmal alle Teilnehmer. Natürlich hat mich die Google-Suche zu diesem Board geführt und ich mußte feststellen, dass es kaum ein deutschsprachiges Board gibt, in dem Viren-Probleme so ausführlich behandelt werden :aplaus: Nun zu meinem speziellen Problem: Alle Virenscanner (Kaspersky, Norton, Antivir, McAffee) bescheinigen mir ein virenfreies System (Windows 98 'SE). Das kann aber nicht stimmen, weil es unkontrollierte Aktivitäten gibt, die auf einen Trojaner hinweisen: - nach dem Start der Programme Ad-aware oder Security-Task-Manager (dort nicht immer) blockiert das System total, sodass nur der Ausschaltknopf weiterhilft, im abgesicherten Modus läuft Ad-Aware einwandfrei, zeigt aber nichts an. - der Zugriff auf e-mails wird verwehrt (ich helfe mir da mit meinem Laptop (XP) - Spybot zeigt sporadisch die Meldung: Common Extension hijack: Default registry file handler (Registerierungsdatenbank-Änderung, fixed) HKEY-Classes-Root\regfile\shell\open\command\=regedit.exe "%1" HKEY-Classes-Root\scrfile\shell\open\command\=regedit.exe "%1" /S - ScanDisk kann nur im abgesicherten Modus ausgeführt werden, weil nicht alle Programme geschlossen sind, so die Meldung. Jetzt hänge ich noch meine Logfile an mit der Bitte an die Experten, ob da was wurmstichiges zu sehen ist. Vielen Dank und frische Grüße Korkhase :p Logfile of HijackThis v1.97.7 Scan saved at 19:26:47, on 04.10.2004 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE C:\PROGRAMME\NORTON ANTIVIRUS\POPROXY.EXE C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\EIGENE DATEIEN\TESTDOKUMENTE\DOWNLOADS\STINGER.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\EIGENE DATEIEN\TESTDOKUMENTE\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;www.ngi R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: (no name) - {724F6607-4698-48F8-903F-120EA084E3F9} - (no file) O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton AntiVirus\POPROXY.EXE O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe O4 - HKLM\..\Run: [Atikey] Atitask.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [ccProxy] C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPROXY.EXE O4 - HKLM\..\RunServices: [SndSrvc] C:\PROGRA~1\GEMEIN~1\SYMANT~1\SNDSRVC.EXE O4 - HKCU\..\Run: [DTgrafic Desktopkalender] C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE O4 - Startup: ccApp.exe.lnk = C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM) O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O12 - Plugin for .pca: C:\PROGRA~1\INTERN~1\PLUGINS\nppcaplg.dll O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll O12 - Plugin for .avi: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npavi32.dll O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O16 - DPF: {17448E17-C4B9-11D1-9D50-0060084D49EC} (BVStartup Class) - http://banking.hypovereinsbank.de/bank/bin/BVCommon.CAB O16 - DPF: {2FF18E10-DE11-11D1-8161-00A0C90DD90C} (MSNBC News Menu Control 3.0) - http://www.zdf.msnbc.de/tools/NewsBrowser/nm0713.cab O16 - DPF: {02466323-75ED-11CF-A267-0020AF2546EA} (VivoActive Control) - http://www.vivo.com/dldv2/vvweb.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {0D6451B3-FDDA-11D3-BFEC-00D0B725EB0B} (Yahoo! FinanceVision (Browser)) - http://download.yahoo.com/dl/fv/fv.cab O16 - DPF: {73020B72-CDD6-4F80-8098-1B2ECD9CA4CA} (HearMe VoiceCREATOR) - http://vp.hearme.com/products/vp/emb...lugins/evp.cab O16 - DPF: {FC15E4F0-EC6A-11D2-9746-00600832DD24} (MSNChatMemberCtl) - http://communities.msn.de/central/UCCCHAT.Cab O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://activex.microsoft.com/control...b/ikcntrls.cab O16 - DPF: {81361155-FAF9-11D3-B0D3-00C04F612FF1} (MSN Chat Control 3.0) - http://communities.msn.ch/central/he...ni/msnchat.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/de/sa/co.../bin/cabsa.cab O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/ProductU...ntent/opuc.cab O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...875.3358101852 O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab |
Hallo Korkhase, sei so nett und lade Dir bitte die aktuelle Version von Hijack This (v1.98.2) runter: http://www.trojaner-board.de/51130-a...ijackthis.html. Erstelle damit ein neues Logfile. SD |
Hi! Etwas explizit Gefährliches kann ich in Deinem Log nicht entdecken. Was meinst Du damit? Zitat:
Mein erster Verdacht geht in die Richtung, dass Du zwei miteinander unverträgliche Programme am laufen hast. Ein heißer Kandidat dafür ist immer de Software von Norton/Symantec. Gruß! MyThinkTank |
hallo Shadowdance, danke für deine schnelle Antwort, ich hoffe, ich habe den richtigen Download erwischt, weil ich auf Chip-Seite automatisch weitergeleitet wurde. Ich muß vielleicht hinzufügen, dass mein System schon seit 4 Jahren im Einsatz ist und möglicherweise auch viel Schrott übriggeblieben ist, der die Sucharbeit erschwert. Hier nun die neue Version: Logfile of HijackThis v1.98.2 Scan saved at 20:49:09, on 04.10.2004 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE C:\PROGRAMME\NORTON ANTIVIRUS\POPROXY.EXE C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;www.ngi R3 - URLSearchHook: (no name) - {724F6607-4698-48F8-903F-120EA084E3F9} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton AntiVirus\POPROXY.EXE O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe O4 - HKLM\..\Run: [Atikey] Atitask.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [ccProxy] C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPROXY.EXE O4 - HKLM\..\RunServices: [SndSrvc] C:\PROGRA~1\GEMEIN~1\SYMANT~1\SNDSRVC.EXE O4 - HKCU\..\Run: [DTgrafic Desktopkalender] C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE O4 - Startup: ccApp.exe.lnk = C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: (no name) - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\PROGRAMME\LINGOCOM\Translator.lnk (file missing) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O12 - Plugin for .pca: C:\PROGRA~1\INTERN~1\PLUGINS\nppcaplg.dll O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll O12 - Plugin for .avi: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npavi32.dll O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O16 - DPF: {17448E17-C4B9-11D1-9D50-0060084D49EC} (BVStartup Class) - http://banking.hypovereinsbank.de/bank/bin/BVCommon.CAB O16 - DPF: {2FF18E10-DE11-11D1-8161-00A0C90DD90C} (MSNBC News Menu Control 3.0) - http://www.zdf.msnbc.de/tools/NewsBrowser/nm0713.cab O16 - DPF: {02466323-75ED-11CF-A267-0020AF2546EA} (VivoActive Control) - http://www.vivo.com/dldv2/vvweb.cab O16 - DPF: {73020B72-CDD6-4F80-8098-1B2ECD9CA4CA} (HearMe VoiceCREATOR) - http://vp.hearme.com/products/vp/emb...lugins/evp.cab O16 - DPF: {FC15E4F0-EC6A-11D2-9746-00600832DD24} (MSNChatMemberCtl) - http://communities.msn.de/central/UCCCHAT.Cab O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://activex.microsoft.com/control...b/ikcntrls.cab O16 - DPF: {81361155-FAF9-11D3-B0D3-00C04F612FF1} (MSN Chat Control 3.0) - http://communities.msn.ch/central/he...ni/msnchat.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/de/sa/co.../bin/cabsa.cab O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab |
@Think ... ich komme garnicht so schnell zum Antworten, wie ihr euch um mein Problem annehmt. :daumenhoc Meine beiden PC sind mit einem Router (seit 1 Woche) Netgear vernetzt und haben dieselbe Adresse zum E-mail-Abruf, das lief auch schon. Beim 98er System kommt jetzt immer die Meldung: Benutzerdaten eingeben, die Eingabe hilft aber nicht d.h., irgendwo müssen die verändert worden sein, drum mein Verdacht auf den unbekannten hijacker. Kann natürlich auch eine andere Ursache haben, die bei mir selber liegt, habe aber nichts gefunden. Gruß und Dank Korkhase |
@Korkhase wechsle in den abgesicherten modus, kennst du diesen eintrag, wenn nicht dann fixen R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = ;www.ngi fixe R3 - URLSearchHook: (no name) - {724F6607-4698-48F8-903F-120EA084E3F9} - (no file) O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: (no name) - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\PROGRAMME\LINGOCOM\Translator.lnk (file missing) O16 - DPF: {02466323-75ED-11CF-A267-0020AF2546EA} (VivoActive Control) - http://www.vivo.com/dldv2/vvweb.cab O16 - DPF: {73020B72-CDD6-4F80-8098-1B2ECD9CA4CA} (HearMe VoiceCREATOR) - http://vp.hearme.com/products/vp/em...plugins/evp.cab die übrige O16 einträge anschauen, wenn du welche nicht kennst, dann fixen neu starten hier clearprog downloaden http://www.clearprog.de/ und laufen lassen chaosman |
Zitat:
Ich vermute daher, dass Du eine fehlerhafte Einstellung in Deinem Norton-Antivirus getätigt hast. Ich verweise dazu auf die obigen Einträge in Deinem Log. Du hast quasi einen Mailproxy laufen, der bestimmte Voreinstellungen hat. Diese solltest Du sorgfältig überprüfen. Ansonsten ist eine Ferndiagnose jetzt ziemlich schwierig ... Gruß! MyThinkTank |
Hallo Korkhase, - scanne bitte mit dem online-scan von Kaspersky folgende Datei: C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE - teile uns dann bitte das Ergebnis der Überprüfung mit und sende diese Datei, wenn sie infiziert sein sollte an partytime-germany.ice@web.de. - fixe mit Hijack This im abgesicherten Modus, und die mit (*) gekennzeichneten Einträge, wenn Du sie nicht kennst oder brauchst ebenfalls: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = ;www.ngi R3 - URLSearchHook: (no name) - {724F6607-4698-48F8-903F-120EA084E3F9} - (no file) O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: (no name) - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\PROGRAMME\LINGOCOM\Translator.lnk (file missing) (*) O16 - DPF: {2FF18E10-DE11-11D1-8161-00A0C90DD90C} (MSNBC News Menu Control 3.0) - http://www.zdf.msnbc.de/tools/NewsBrowser/nm0713.cab (*) O16 - DPF: {02466323-75ED-11CF-A267-0020AF2546EA} (VivoActive Control) - http://www.vivo.com/dldv2/vvweb.cab (*) O16 - DPF: {73020B72-CDD6-4F80-8098-1B2ECD9CA4CA} (HearMe VoiceCREATOR) - http://vp.hearme.com/products/vp/em...plugins/evp.cab - Du könntest - sicherheitshalber - den eScan auf Deinem System durchführen: downloade das Programm eScan, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus, siehe Anleitung: Thread-6083 - Teile uns bitte mit, wieviel Viren auf Deinem Rechner gefunden wurden, wie sie heißen, wieviele Viren gelöscht und wieviele Dateien umbenannt wurden. - Poste dann bitte ein neues Logfile mit Hijack This. SD [edit] ... http://www.trojaner-board.de/images/smilies/party.gif MTT & Chaosman [/edit] |
hallo shadowdance, jetzt zeigt sich das Problem: Ich kann den kaspersky-online-scan auf den Bildschirm bekommen, gebe dann die Daten ein und daraufhin kommt nach längerer Pause die Meldung: Die Seite kann nicht angezeigt werden. Ich versuche es mal im abgesicherten Modus. |
Hallo Korkhase, den Online-Scan kannst Du nicht im abgesicherten Modus ausführen ;-) Das geht nicht, da man offline ist, wenn man im abgesicherten Modus scannt. Wenn der Online-Scan nicht geht, lass es einfach sein und führe - laut Anleitung (siehe oben) - den eScan durch. Wende Dich nun vertrauensvoll Chaosman und meinen anderen Kollegen hier an Board zu, denn ich bin von nun an ein paar Stunden offline. Viel Erfolg und danke für die nette Begrüßung. SD |
Liebe Expertengemeinde, da bin ich ja ganz von den Socken, wie schnell hier geholfen wird und wie der Staffelstab an die nächsten Helfer weitergeht :aplaus: Im eigenen Interesse war ich natürlich auch fleißig und habe die Empfehlungen umgesetzt, wie man aus dem neuen Protokoll ersehen kann. Den Moka.exe halte ich für ganz ungefährlich, das ist ein Kalenderprogramm auf dem Desktop, das ich schon 2 Jahre ohne Probleme habe. Ein vielleicht nicht unwichtiger Hinweis, nämlich wann trat das Problem erstmals auf: Vor ca. 10 Tagen konnte ich nicht an meine E-mails und habe die T-online-Seite aufgerufen, da war eine Mail vorhanden und ohne irgendetwas anzuklicken (natürlich auch nicht das Attachment) ging plötzlich der Media-Player auf und gleich anschließend meldete sich der Norton-Viren-Scanner, der Virus Swen alias Gibe ist vorhanden. Reparieren, isolieren, löschen sei nicht möglich, der Virus sei aber abgewehrt und könne sich nicht weiter verbreiten. Hier sehe ich die eigentlich Ursache, dass die Abwehr wohl doch nicht so toll war. Ansonsten hatte ich vor 2 Jahren mal den Sircam, der sich aber beseitigen ließ, aber sonst keine Viren. So und jetzt noch das neue Protokoll mit herzlichem Dank an alle Helfer und morgen sehen wir weiter. Logfile of HijackThis v1.97.7 Scan saved at 22:14:54, on 04.10.2004 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE C:\PROGRAMME\NORTON ANTIVIRUS\POPROXY.EXE C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\EIGENE DATEIEN\TESTDOKUMENTE\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton AntiVirus\POPROXY.EXE O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe O4 - HKLM\..\Run: [Atikey] Atitask.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [ccProxy] C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPROXY.EXE O4 - HKLM\..\RunServices: [SndSrvc] C:\PROGRA~1\GEMEIN~1\SYMANT~1\SNDSRVC.EXE O4 - HKCU\..\Run: [DTgrafic Desktopkalender] C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE O4 - Startup: ccApp.exe.lnk = C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O12 - Plugin for .pca: C:\PROGRA~1\INTERN~1\PLUGINS\nppcaplg.dll O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll O12 - Plugin for .avi: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npavi32.dll O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O16 - DPF: {17448E17-C4B9-11D1-9D50-0060084D49EC} (BVStartup Class) - http://banking.hypovereinsbank.de/bank/bin/BVCommon.CAB O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {0D6451B3-FDDA-11D3-BFEC-00D0B725EB0B} (Yahoo! FinanceVision (Browser)) - http://download.yahoo.com/dl/fv/fv.cab O16 - DPF: {FC15E4F0-EC6A-11D2-9746-00600832DD24} (MSNChatMemberCtl) - http://communities.msn.de/central/UCCCHAT.Cab O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://activex.microsoft.com/control...b/ikcntrls.cab O16 - DPF: {81361155-FAF9-11D3-B0D3-00C04F612FF1} (MSN Chat Control 3.0) - http://communities.msn.ch/central/he...ni/msnchat.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/de/sa/co.../bin/cabsa.cab O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/ProductU...ntent/opuc.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...875.3358101852 O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab |
@Korkhase lade doch mal den aktuellen HJT http://www.trojaner-board.de/51130-a...ijackthis.html und mache ein neuen scan ansonsten sieht dein log sauber aus chaosman |
Der Hinweis war in der Tat wichtig, hier gibt es einige Infos zu diesem Virus: http://www.rz.uni-karlsruhe.de/rz/sec/virus/SwenA.html http://www.pctipp.ch/helpdesk/virent...chiv/25198.asp Hier gibt es ein removal-Tool, das du ja mal testen kannst zur Sicherheit und evtl. kannst du ja einige der Dinge aus den Links bei dir finden: http://www3.ca.com/solutions/collate...7081&CID=50601 |
Guten Morgen, die Hinweise auf den Wurm Swen habe ich schon alle durchgearbeitet und sämtliche erreichbaren Scanner speziell auf Swen heruntergeladen und laufen lassen. Es wurde lediglich bei Sophos (den habe ich zuerst gestartet) eine Registryänderung gefunden und berichtigt, leider hat der Scan nicht gesagt, wo genau dies geschehen ist. Alle anderen haben keine Infektion gefunden. Hier nochmal der morgenfrische brandaktuelle Scan: (den Lingocom werde ich noch fixen) Logfile of HijackThis v1.98.2 Scan saved at 08:13:22, on 05.10.2004 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE C:\PROGRAMME\NORTON ANTIVIRUS\POPROXY.EXE C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton AntiVirus\POPROXY.EXE O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe O4 - HKLM\..\Run: [Atikey] Atitask.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [ccProxy] C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPROXY.EXE O4 - HKLM\..\RunServices: [SndSrvc] C:\PROGRA~1\GEMEIN~1\SYMANT~1\SNDSRVC.EXE O4 - HKCU\..\Run: [DTgrafic Desktopkalender] C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE O4 - Startup: ccApp.exe.lnk = C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: (no name) - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\PROGRAMME\LINGOCOM\Translator.lnk (file missing) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O12 - Plugin for .pca: C:\PROGRA~1\INTERN~1\PLUGINS\nppcaplg.dll O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll O12 - Plugin for .avi: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npavi32.dll O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O16 - DPF: {17448E17-C4B9-11D1-9D50-0060084D49EC} (BVStartup Class) - http://banking.hypovereinsbank.de/bank/bin/BVCommon.CAB O16 - DPF: {FC15E4F0-EC6A-11D2-9746-00600832DD24} (MSNChatMemberCtl) - http://communities.msn.de/central/UCCCHAT.Cab O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://activex.microsoft.com/control...b/ikcntrls.cab O16 - DPF: {81361155-FAF9-11D3-B0D3-00C04F612FF1} (MSN Chat Control 3.0) - http://communities.msn.ch/central/he...ni/msnchat.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/de/sa/co.../bin/cabsa.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab |
Hallo Korkhase, Diese Einträge kannst Du noch mit HJT im abgesicherten Modus fixen - und die mit (*) gekennzeichneten Einträge, wenn Du sie nicht brauchst: (*) O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html (*) O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html (*) O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html (*) O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: (no name) - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\PROGRAMME\LINGOCOM\Translator.lnk (file missing) Ansonsten sieht Dein Logfile - meiner Ansicht - völlig in Ordnung aus. zur Lektüre empfohlen: - IE sicher konfigurieren: www.datenschutzzentrum.de. - Vorbeugende Maßnahmen: www.trojaner-info.de - Einschränktes Benutzerkonto: www.ntsvcfg.de. - www.mathematik.uni-marburg.de SD |
Da bin ich wieder, nach einigen Verständnisproblemen habe ich jetzt den empfohlenen eScan abgesichert laufen lassen und sieheda, der findet folgendes: File C:\Windows\Acssun.exe tagged as not-a-virus: Tool Win32.Reboot.No Action Taken. File C:\Windows\System\richsexuninstall.exe tagged as not-a-virus: PornWare.Dialer.Generic.No ActionTaken. :pfui: File C:\Windows\Options\Cabs\Ebd.Cab tagged as not-a-virus: Tool DOS.Restart. No action taken File C:\Windows\Downloaded Program files\sesso.exe infected byTrojan.Win32.Dialer.e Virus Action Taken Bei den kritischen Fälle habe ich die "Action getakt", ich hoffe, dass mein System jetzt wieder normal läuft, wenn nicht, lasse ich wieder einen Hilfeschrei los :schrei: und jetzt eine gute N8 :sleepy: |
Guten Morgen Korkhase, die Verständnisprobleme sind momentan eher auf meiner Seite ;). Welche Version des eScan hast Du verwendet? Es gibt nämlich mittlerweile eine Version, die die Viren zwar findet, aber nicht mehr löscht, das muss der User dann manuell machen. Wie gehst Du ins Netz? Dialer sollte man zur Beweissicherung auf Diskette kopieren, falls sich die Telefonrechnung erhöht (www.dialerschutz.de). Zitat:
Du solltest vielleicht doch über einen Browserwechsel nachdenken und den IE nur noch für die Updates und Patches verwenden. Näheres dazu in der bereits angegebenen Lektüre ... SD |
Guten Morgen shadwodance, zu nächtlicher Stunde habe ich mich wirklich unklar ausgedrückt. In den Fällen, in denen no Aktion taken angezeigt wurde, habe ich nichts unternommen. Den Dialer wollte ich löschen, aber ich habe ihn in dem angegebenen Pfad nicht gefunden, ich habe allerdings nicht feststellen können, dass er jemals aktiv war, vermutlich schlummert er schon lange im System. Können eigentlich Dialer bei DSL-Anschluß funktionieren? Jetzt muß ich doch erstmal deine "Erste Hilfe" studieren und den richtigen eScan finden, dann melde ich mich wieder. Vielen Dank |
Zitat:
|
Hallo shadowdance und andere Helfer, jetzt habe ich den escan 4.5.1 durchgeführt. Das Ergebnis sah wie folgt aus: File C:\Windows\Acssun.exe tagged as not-a-virus: Tool.Win32..Reboot. File C:\Windwos\Options\Cabs\EBD.CAB tagget as not-a-virus: Tool.DOS.Restart File C:\Windows\Acssun.exe tagged as not-a-virus: Tool.Win32..Reboot. (dies wird tatsächlich 2 x angezeigt) File C:\Windows\Downloaded Program Files\sesso.exe infected by "Trojan.Win32.Dialer.e" File C:\Recycled\DC665.exe tagged as not-a-virus: PornWare.Dialer.Generic. (das ist ja wohl der Papierkorb, dürfte also erledigt sein) Alle Meldungen zeigen "No Action Taken", die Trojaner sind also noch auf meinem System und daher meine Bitte an euch um Hilfestellung bei der Beseitigung. Ins Netz gehe ich immer mit TDSL, so dass Dialer lt. Cidre nichts anstellen können. Ein neuer hijackthis-Test ist ja wohl erst nach Entfernung der Viren sinnvoll. Der Tipp mit Norton wg. E-mail war goldrichtig. Die haben einfach die Zugangsdaten (System W98) auf sich selbst abgeändert und drum kam ich nicht mehr rein. Jetzt gehts wieder. Seltsamerweise hat das bei XP nichts ausgemacht. Ich hoffe, mir kann geholfen werden. Besten Dank und Gruß Korkhase |
Lösche die Datei im abgesicherten Modus: File C:\Windows\Downloaded Program Files\sesso.exe Danach poste ein neues Log von HijackThis. |
Hallo Christian, obwohl der escan die Datei sesso.exe anzeigt, kann ich sie unter "Downloaded Program files" nicht finden. Dort befinden sich lauter Aktiv-X Programme, von denen mir keines verdächtig vorkommt. Die Suche nach Dateien und auch in der Registry nach sesso.exe blieb erfolglos. Ein mir unbekanntes Aktiv-X habe ich gelöscht, dabei habe ich aber wohl die Google-Tool-Bar erwischt, jedenfalls ist die verschwunden. Weißt du einen Weg, das Versteck von sesso doch noch zu finden? Hier nun der neue hijackthis Logfile of HijackThis v1.98.2 Scan saved at 21:30:30, on 07.10.2004 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\EXPLORER.EXE C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE C:\PROGRAMME\NORTON ANTIVIRUS\POPROXY.EXE C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton AntiVirus\POPROXY.EXE O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [ccProxy] C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPROXY.EXE O4 - HKLM\..\RunServices: [SndSrvc] C:\PROGRA~1\GEMEIN~1\SYMANT~1\SNDSRVC.EXE O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKCU\..\Run: [DTgrafic Desktopkalender] C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE O4 - Startup: ccApp.exe.lnk = C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O12 - Plugin for .pca: C:\PROGRA~1\INTERN~1\PLUGINS\nppcaplg.dll O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll O12 - Plugin for .avi: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npavi32.dll O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O16 - DPF: {17448E17-C4B9-11D1-9D50-0060084D49EC} (BVStartup Class) - http://banking.hypovereinsbank.de/bank/bin/BVCommon.CAB O16 - DPF: {FC15E4F0-EC6A-11D2-9746-00600832DD24} (MSNChatMemberCtl) - http://communities.msn.de/central/UCCCHAT.Cab O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://activex.microsoft.com/control...b/ikcntrls.cab O16 - DPF: {81361155-FAF9-11D3-B0D3-00C04F612FF1} (MSN Chat Control 3.0) - http://communities.msn.ch/central/he...ni/msnchat.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/de/sa/co.../bin/cabsa.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab |
Falls Dein Mail-Problem noch nicht gelöst ist ... Zitat:
MTT |
Hallo Korkhase, "sesso.exe ist verschwunden" ... hast Du die Windows-Funktion "alles anzeigen" eingestellt? eScan gibt Dir den Pfad an. Versuche es noch mal und melde Dich wieder, wenn es nicht klappt mit dem löschen. MTT hat recht, Dein Logfile ist ok. Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack noch diesen Eintrag: O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) Aktiviere die Systemwiederherstellung wieder, boote in den normalen Modus. Viel Glück weiterhin. Denk mal über einen Browserwechsel nach, es erhöht die Sicherheit und vermeidet weitere Probleme beim Surfen. Lektüre: - IE sicher konfigurieren: www.datenschutzzentrum.de. - Vorbeugende Maßnahmen: www.trojaner-info.de - Einschränktes Benutzerkonto: www.ntsvcfg.de. - www.mathematik.uni-marburg.de SD |
@mythinktank wie ich weiter unten schon geschrieben habe, war dein Tipp mit Norton goldrichtig. Die haben die Einstellungen verändert, jetzt läuft E-mail wieder sauber. :party: |
Hallo SD, wäre jetzt eine Kamera hier, würdest du mich auf dem Schlauch stehend sehen. Ich weiß nicht, wo ich "alles anzeigen" bei Windows 98 eingeben kann, bitte um Nachhilfeunterricht :heulen: Die 09er Buttons werde ich wie empfohlen, entfernen Gruß Korkhase |
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren |
hallo Cidre, jetzt bin ich runter vom Schlauch, allerdings war und ist diese Einstellung aktiviert, daran kann es also nicht liegen, dass ich die Datei nicht gefunden habe, könnte es sein, dass es sich um eine temporäre gehandelt hat, die wirklich nicht mehr da ist? Was völlig unwichtiges, die Smileys funktionieren bei mir nicht richtig,wie z.B. dieses: :party: weil ich gern mit dir anstoßen würde, allerdings der Inhalt wäre dann natürlich das mit dir gleichnamige Getränk ;) |
Hi Korkhase, hatte damit auch schonmal Probleme, wenn du dich nen bischen mit dem guten alten DOS auskennst: So kannst du die Datei meist problemlos suchen und löschen/umbenennen/verschieben. |
@ Korkhase zunächst ein Dank an @ Cidre für's entfernen von Schläuchen ;-) Dann .. darf ich aushelfen? Hier das köstliche kühle Getränk, frisch importiert aus Sachsenhausen ;) ... und dann könntest Du Dir die Freeware-Version von ArchiCrypt.Shredder runterladen und damit auf die Suche nach der versteckten Datei gehen. Es gibt auch sonst noch ein paar brauchbare Funktionen. Schau's Dir mal an. SD |
hallo mRNA, wir Neulinge müssen uns erst mal hier mit den technischen Dingen vertraut machen, klappt aber schon ganz gut, besonders die Hilfsbereitschaft ist hier phänomenal gut und schnell. Mit DOS kenne ich mich leider nicht aus, wie man es startet, weiss ich, aber dann setzt es schon aus. Vielleicht kannst du mir ja die Befehle mal hier reinsetzen, dann werde ich schon klarkommen. |
hi SD, der Sachsenhausener Äbbelwoi ist mir wohl bekannt, dazu noch Handkäs mit Musik, virenlose Computer und funktionierende Smileys wären fast das Paradies :teufel3: :kloppen: mal sehen, ob der klopper geht, alle animierten Smileys scheinen bei mir zu streiken, liegt wohl an den Grundeinstellungen. Den Shredder werde ich mir mal morgen unter die Lupe nehmen, heute verhindern die müden Stellen im Gesicht solch geistige Anstrengungen. Also dann gute N8 :sleepy: |
Stimmt, gefällt mir hier auch sehr gut, schnelle und kompetente Hilfe, auch wenn der eigentliche Grund, warum wir hier sind, wenig erfreulich ist. Zum DOS: Ist eigentlich ganz einfach: Mit dem Befehl "cd Verzeichnisname" wechselst du zwischen Verzeichnissen, "dir" listet den Inhalt von Verzeichnissen auf, mit "del dateiname.ext" löschst du Dateien, mit "ren altername.ext neuername.ext" benennst du Dateien um. Wenn sich deine Datei also im Verzeichnis C:\programme\Anwendung\Programm.exe liegt, wären die Befehle: Code: cd c:\programme\anwendung\ (wechselt in das Verzeichnis) |
Guten Abend, eine seltsame Sache: die Google-Toolbar ist verschwunden, obwohl sie im hijack angezeigt wird, auch neu installieren hat nichts geholfen, sie ist einfach nicht sichtbar. Nicht im abgesicherten Modus schaut euch doch mal den neuen Scan von hijackthis an, ob da was verdächtiges zu sehen ist. Trotz allem schönes Wochenende und :party: mit Korkhase Logfile of HijackThis v1.97.7 Scan saved at 23:18:20, on 09.10.2004 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE C:\PROGRAMME\NORTON ANTIVIRUS\POPROXY.EXE C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\SPYBOTSD.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\EIGENE DATEIEN\TESTDOKUMENTE\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton AntiVirus\POPROXY.EXE O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [ccProxy] C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPROXY.EXE O4 - HKLM\..\RunServices: [SndSrvc] C:\PROGRA~1\GEMEIN~1\SYMANT~1\SNDSRVC.EXE O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKCU\..\Run: [DTgrafic Desktopkalender] C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE O4 - Startup: ccApp.exe.lnk = C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O12 - Plugin for .pca: C:\PROGRA~1\INTERN~1\PLUGINS\nppcaplg.dll O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll O12 - Plugin for .avi: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npavi32.dll O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O16 - DPF: {17448E17-C4B9-11D1-9D50-0060084D49EC} (BVStartup Class) - http://banking.hypovereinsbank.de/bank/bin/BVCommon.CAB O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {FC15E4F0-EC6A-11D2-9746-00600832DD24} (MSNChatMemberCtl) - http://communities.msn.de/central/UCCCHAT.Cab O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://activex.microsoft.com/control...b/ikcntrls.cab O16 - DPF: {81361155-FAF9-11D3-B0D3-00C04F612FF1} (MSN Chat Control 3.0) - http://communities.msn.ch/central/he...ni/msnchat.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/de/sa/co.../bin/cabsa.cab O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/ProductU...ntent/opuc.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...875.3358101852 O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab |
Logfile of HijackThis v1.97.7 ... ist veraltet. Aktuell ist 1.98.2 |
@Christian die neue Version ist heruntergeladen und das aktuelle Protokoll anhängend. Noch eine Verständnisfrage: mein Thread hat vorne ein rotes Zeichen mit Pfeil, was bedeutet das, soll man wegen der Übersicht lieber einen neuen Thread eröffnen? Mache ich doch gerne, wenn das so gemeint ist. Verdächtig kommt mir diese Zeile vor: O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun Bitte um Untersuchung. Logfile of HijackThis v1.98.2 Scan saved at 18:58:56, on 10.10.2004 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\EXPLORER.EXE C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE C:\PROGRAMME\NORTON ANTIVIRUS\POPROXY.EXE C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton AntiVirus\POPROXY.EXE O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [ccProxy] C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPROXY.EXE O4 - HKLM\..\RunServices: [SndSrvc] C:\PROGRA~1\GEMEIN~1\SYMANT~1\SNDSRVC.EXE O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKCU\..\Run: [DTgrafic Desktopkalender] C:\PROGRAMME\DTGRAFIC\KLEMPNER 2002\MOKA.EXE O4 - Startup: ccApp.exe.lnk = C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O12 - Plugin for .pca: C:\PROGRA~1\INTERN~1\PLUGINS\nppcaplg.dll O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll O12 - Plugin for .avi: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npavi32.dll O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O16 - DPF: {17448E17-C4B9-11D1-9D50-0060084D49EC} (BVStartup Class) - http://banking.hypovereinsbank.de/bank/bin/BVCommon.CAB O16 - DPF: {FC15E4F0-EC6A-11D2-9746-00600832DD24} (MSNChatMemberCtl) - http://communities.msn.de/central/UCCCHAT.Cab O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://activex.microsoft.com/control...b/ikcntrls.cab O16 - DPF: {81361155-FAF9-11D3-B0D3-00C04F612FF1} (MSN Chat Control 3.0) - http://communities.msn.ch/central/he...ni/msnchat.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/de/sa/co.../bin/cabsa.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab |
Nein, das ist nicht so gemeint. Fixe nun dies: O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O16 - DPF: {17448E17-C4B9-11D1-9D50-0060084D49EC} (BVStartup Class) - http://banking.hypovereinsbank.de/bank/bin/BVCommon.CAB O16 - DPF: {FC15E4F0-EC6A-11D2-9746-00600832DD24} (MSNChatMemberCtl) - http://communities.msn.de/central/UCCCHAT.Cab O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://activex.microsoft.com/contro...eb/ikcntrls.cab O16 - DPF: {81361155-FAF9-11D3-B0D3-00C04F612FF1} (MSN Chat Control 3.0) - http://communities.msn.ch/central/h...uni/msnchat.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/de/sa/c...n/bin/cabsa.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tec...ta/SymAData.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tec.../ActiveData.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/...bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab Welches Problem hast du jetzt eigentlich noch? |
@Christian danke für die Untersuchung, die angegebenen Zeilen habe ich gefixed. Probleme bereiten mir unerklärliche Verhaltensweisen des Systems. Aktuell: Google-Toolbar heruntergeladen und installiert, aber sie erscheint nicht oder Ad-Aware wird gestartet und bleibt regelmäßig nach ca. 30 sek bei einem Eintrag von Norton hängen, gleichzeitig hängt sich das System auf und nur mit dem brutalen Ausschaltknopf komme ich wieder raus , im abgesicherten Modus läuft es bis zum Ende durch, allerdings ohne nennenswerte Virushinweise (nur Cookies). Ich muß mich wohl damit abfinden, wenn noch mehr Pannen passieren, werde ich das System völlig neu initialisieren, ist schließlich schon 4 Jahre im Einsatz, da sammelt sich viel Unnützes an. Damit kann ich wohl den Thread als abgeschlossen betrachten und danke nochmals allen Helfern. Gruß Korkhase |
@Christian ein kleiner Nachtrag: Die Google-Toolbar konnte nicht installiert werden, weil aus irgendeinem Grund die JAVA-Version fehlerhaft war, man sieht also, es muss nicht immer ein Virus sein, der einem das virtuelle Leben schwer macht, manchmal ist man auch selber schuld :juul: Gruß und schönes WE |
Aktualisiere dein Java. Wenn du mit Ad-ware scannst, dann deaktiviere bitte den Norton-Viren-Wächter. Vergesse aber nicht, den Wächter nach Abschluss des Scanns von Ad-aware wieder zu aktivieren. |
Guten Morgen, wie aus diesem etwas langgeratenen Thread ersichtlich ist, hatte ich Probleme mit dem Wurm Swen und die schienen auch beseititgt zu sein, der hijack-scan war "sauber". Jetzt habe ich noch einen Swen-scan bei Norman entdeckt und habe den mal laufen lassen. Da kamen noch einige Hinterlassenschaften von Swen zum Vorschein, die ich mal anhänge: Scanning drive: c:\ ............................................................................... ............................................................................... ....................................... Cleaning the registry Setting reg key: HKCR\exefile\shell\open\command to "%1" %* Setting reg key: HKCR\regfile\shell\open\command to regedit "%1" Setting reg key: HKCR\scrfile\shell\open\command to "%1" /S Setting reg key: HKCR\scrfile\shell\config\command to %1 Setting reg key: HKCR\piffile\shell\open\command to "%1" %* Setting reg key: HKCR\batfile\shell\open\command to "%1" %* Setting reg key: HKCR\comfile\shell\open\command to "%1" %* Deleted registry key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DTgraf c Desktopkalender Deleted registry key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Die Kl mpner 2002 Infected processes killed: 0 Files scanned: 25285 Infected files: 0 deleted, 0 repaired Done! Press any key to exit. (Ende) Offensichtlich werden die Fehler nur angezeigt und nicht repariert, wobei die beiden zu löschenden Schlüssel nicht auffindbar sind. Jetzt mein Problem: Ich wollte die Reg-Schlüssel so ändern, wie der Scan es anzeigt. Dabei mußte ich feststellen, dass alle angezeigten Schlüssel in "Gänsefüßchen" eingeschlossen sind, die sich bei der Funktion "Ändern" in der Reg. nicht entfernen lassen, weil sie im Änderungsfeld garnicht angezeigt werden. Beispiel: ""%1" %*" und nicht wie im Scan angezeigt "%1" %* Könnt ihr mir einen Rat geben, was zu tun ist? Möglicherweise verstehe ich ja nur die Syntax der Registry nicht richtig und die Gänsefüßchen gehören da wirklich hin. Dank und Gruß Korkhase |
Guten Mittag Korkhase, da muss ich leider passen, damit habe ich mich noch nicht befasst. Keine Ahnung. SD |
Hallo Shadowdance, danke für deine ehrliche Antwort, niemand ist allwissend, vielleicht gibt es hier noch jemand, der in den Geheimnissen der Registry so ein excellenter Experte ist wie du in der Auswertung von Hijackprotokollen. :daumenhoc Na dann Mahlzeit :D |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board