Trojaner-Board - Mal bitte ein Auge drauf werfen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Mal bitte ein Auge drauf werfen (https://www.trojaner-board.de/8451-mal-bitte-auge-drauf-werfen.html)

Mal bitte ein Auge drauf werfen

Ein wunderschönen Tag wünsche ich euch allen!

Habe ein kleines Problem. Beim Hochfahren öffnen sich eigenartige Fenster mit HideRun error usw. Dabei werden dann unheimlich viele Daten übertragen. Schätze bei mir hat sich ein Trojaner festgesetzt. Habe Spybot laufen lassen, hat zwar etwas gefunden, aber Problem besteht immernoch. Bin ziemlich verwundert, da ich Mozilla verwende. Dachte, dass wäre ziemlich sicher?!

Hier was zum lesen:
Logfile of HijackThis v1.98.2
Scan saved at 12:05:56, on 15.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sysoverload.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\sistray.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\updates.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AIM95\aim.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
C:\Programme\Wireless LAN\Wireless LAN Monitor Utility\WlanMoni.exe
C:\Dokumente und Einstellungen\Michi\Eigene Dateien\Sicherheit\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uni-bielefeld.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [blah service] updates.exe
O4 - HKLM\..\Run: [Microsoftvirus] sysoverload.exe
O4 - HKLM\..\Run: [MSNMSGRE] C:\swef.bat
O4 - HKLM\..\RunServices: [blah service] updates.exe
O4 - HKLM\..\RunServices: [Microsoftvirus] sysoverload.exe
O4 - HKLM\..\RunOnce: [Microsoftvirus] sysoverload.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [Microsoftvirus] sysoverload.exe
O4 - HKCU\..\RunOnce: [Microsoftvirus] sysoverload.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Wireless LAN Monitor Utility.lnk = C:\Programme\Wireless LAN\Wireless LAN Monitor Utility\WlanMoni.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/support/chipdetect/OSInfo.cab
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/support/chipdetec...todetectNT.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{514353AC-A07A-49BA-AEA8-0DCFED5D2B4B}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = uni-bielefeld.de

Wäre nett, wenn mir jemand helfen könnte. Da ich ja noch neu bin, wollte ich direkt mal fragen, ob es schlimm ist, dass ich einen neunen Thread dafür geöffnet habe. Habe aber im Forum gesucht und nichts passendes für mich gefunden!

Danke schoma!

Gruß
Michi

Hallo????

Kann mir vielleicht mal jemand helfen? Stehe echt aufm Schlauch! :headbang:

Hallo Michi,

scanne mal Deinen Rechner mit eScan (siehe Signatur) und poste hier die Sachen, die gefunden wurden. Ich bin sicher es wird einiges gefunden...

Hey Lutz! Bin auch aus Bielefeld, besser ich studiere gerade hier! Das ist ja ein Zufall! Werde die Ergebnisse des eScan gleich hier posten!

Habe eScan laufen lassen und was sich da ergeben hat, läßt mich nicht sehr positiv stimmen. Also halt dich mal gut fest. Lasse jetzt aber mal das neuste Windows-Sicherheits-Update installieren. Aber das wird mir jetzt wohl auch nicht mehr helfen. Aber bitte schreibe nichts mit formatieren oder so!!!!

File C:\WINDOWS\System32\sysoverload.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\updates.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\updates.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\sysoverload.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\sysoverload.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\updates.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\sysoverload.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\sysoverload.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\sysoverload.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\sysoverload.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\bling.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\a.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\Mozilla\Firefox\Profiles\default.b27\Cache\7604C92Dd01 infected by "not-a-virus:AdvWare.Trymedia.a" Virus. Action Taken: No Action Taken.
File C:\gamacash.exe tagged as not-a-virus:RiskWare.Tool.HideWindows. No Action Taken.
File C:\HideRun.exe tagged as not-a-virus:RiskWare.Tool.HideWindows. No Action Taken.
File C:\iexpIerer.exe infected by "TrojanClicker.Win32.VB.de" Virus. Action Taken: No Action Taken.
File C:\mes.exe tagged as not-a-virus:RiskWare.Tool.HideWindows. No Action Taken.
File C:\msfs.exe tagged as not-a-virus:RiskWare.Tool.HideWindows. No Action Taken.
File C:\re11.REG infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{8465DFF0-3074-4C16-93D7-73C263E8B1A3}\RP36\A0012234.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\System Volume Information\_restore{8465DFF0-3074-4C16-93D7-73C263E8B1A3}\RP40\A0027693.exe infected by "not-a-virus:AdvWare.SaveNow.k" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{8465DFF0-3074-4C16-93D7-73C263E8B1A3}\RP40\A0027694.exe infected by "not-a-virus:AdvWare.Toolbar.GigatechSuperBar" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{8465DFF0-3074-4C16-93D7-73C263E8B1A3}\RP40\A0027916.exe infected by "not-a-virus:AdvWare.Toolbar.GigatechSuperBar" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{8465DFF0-3074-4C16-93D7-73C263E8B1A3}\RP41\A0028061.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{8465DFF0-3074-4C16-93D7-73C263E8B1A3}\RP46\A0032632.exe tagged as not-a-virus:Joke.Win32.Coke. No Action Taken.
File C:\System Volume Information\_restore{8465DFF0-3074-4C16-93D7-73C263E8B1A3}\RP46\A0032635.exe tagged as not-a-virus:Joke.Win32.FreiBier. No Action Taken.
File C:\System Volume Information\_restore{8465DFF0-3074-4C16-93D7-73C263E8B1A3}\RP46\A0032636.exe tagged as not-a-virus:Joke.Win32.Buttons.a. No Action Taken.
File C:\System Volume Information\_restore{8465DFF0-3074-4C16-93D7-73C263E8B1A3}\RP52\A0034990.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{8465Traces of "Welchia" found and cleaned !!!

Wenn ich das Upate installiert habe, soll ich das Hijack Ding nochmal vorstellen, oder wird sich da nichts ändern?!

Gruß
Michi

Hallo Michi,

tut mir leid, aber da ist nichts zu machen. Die Familie der Backdoor.Rbot.gen und Wootbot.gen
erlaubt nur eine Möglichkeit: formatieren+neuaufsetzen

Zitat:

Zitat von Cidre

[..]
Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

Alles andere ist NICHT zu verantworten. Bitte nimm Deinen Computer so schnell wie möglich aus dem Netz, er stellt eine Gefahr für die anderen Teilnehmer im Netz dar. Beachte auch den Link in meiner Signatur unter 'TI Hijacker-Rubrik'.

SD

Hallo Michi,

ich kann mich da den Worten von SD nur anschließen!

Selbst wenn Du so 'egoistisch' wärest und sagtest, ist mir doch egal, ob ich eine Gefahr für die anderen bin, Du selbst bzw. Dein Rechner ist nicht mehr sicher und auch langwierige Lösch- und Wiederherstellungsversuche machen den Rechner nicht wieder sicher!

Hey! Habe jetzt meine Platte formatiert. Bin mir immernoch nicht sicher, ob alles in Ordnung ist?! Könnt ihr nochma einen Blick drauf werfen?! Sieht sehr eigenartig aus!!! eScan kommt geich auch noch!!!!

Logfile of HijackThis v1.98.2
Scan saved at 20:53:31, on 17.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\PROGRA~1\DAP\DAP.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Dokumente und Einstellungen\Mitschi\Eigene Dateien\Mitschi Privat\PROGRAMME\hijackthis1982\HijackThis.exe

O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [Epson Registrierungserinnerung] "C:\WINDOWS\temp\NavBrowser.exe" /r /i "C:\WINDOWS\temp\NavLoad.ini"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: CAPIControl.lnk = ?
O4 - Startup: HomeNet Control.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098020081906
O17 - HKLM\System\CCS\Services\Tcpip\..\{66119789-CAF6-4A55-B605-56044ED2E87A}: NameServer = 62.104.191.241 62.104.196.134

Zitat:

Zitat von michiman

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Zuallererst solltest du dir alle Updates von Microsoft besorgen.Dein System ist nicht mehr aktuell und bietet so potentielle Angriffsmöglichkeiten.
Findest du im Startmenü---->Windows Update

Soll ich mir auch Updates vom IE laden, wenn ich ihn ger nicht mehr nutze?!

Zitat:

Zitat von michiman

Soll ich mir auch Updates vom IE laden, wenn ich ihn ger nicht mehr nutze?!

Auf jeden Fall

Das Problem ist halt,das andere Programme oder Kernkomponenten von XP immer noch den Browser nutzen.So stellt der IE immer noch eine potentielle Gefahr da.

Danke, werde es dann mal aktualisieren!!!

Gruß
Michi

Hallo Michi

ich nehme an, diesen Dowload-Manager hast Du bewusst installiert:

Zitat:

O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP

Hierzu sagt Sysinfo.org folgendes:

Zitat:

Download Accelerator Plus from Speedbit. Download manager for resuming downloads, amongst other features. Available via Start -> Programs. Note that the free version is "adware" based

Ansonsten sieht Dein Log bis auf die fehlenden Updates sauber aus. Ein guter Virenscanner kann allerdings nichts schaden... ;)

So sicher ist sicher! Wie schaut es jetzt aus?

Logfile of HijackThis v1.98.2
Scan saved at 19:12:28, on 18.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Mitschi\Eigene Dateien\Mitschi Privat\PROGRAMME\hijackthis1982\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [Epson Registrierungserinnerung] "C:\WINDOWS\temp\NavBrowser.exe" /r /i "C:\WINDOWS\temp\NavLoad.ini"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: CAPIControl.lnk = ?
O4 - Startup: HomeNet Control.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098020081906

Habe mir jetzt alle Updates gezogen.
Noch was anderes. Habe den Download Accelerator wieder gelöscht. Danke an Lutz für den Hinweis!!! Hast Du vielleicht einen besseren Download-Manager? Habe zuvor Leech-Get genutzt, ist dieser besser. Brauche unbedingt einen, weil in der Uni des öfteren mal die Verbindung abbricht.
Zudem nutze ich jetzt Firefox und Thunderbird für meine Mails. das wird wohl besser sein, oder?
Weiter bekomme ich ständig irgendwelche Porno-Mails mit diversen Links. Diese lösche ich immer direkt, aber können durch diese Mails direkt irgendwelche Dinge sich auf meinem Rechner festsetzen?
Werde mich mal hier im Board nach weiteren nutzbaren Programmen umschauen!

@ michiman

Zitat:

Weiter bekomme ich ständig irgendwelche Porno-Mails mit diversen Links. Diese lösche ich immer direkt, aber können durch diese Mails direkt irgendwelche Dinge sich auf meinem Rechner festsetzen?

Du solltest keinerlei HTML-Mails annehmen, also von vorneherein Dein Mailprogramm so einstellen, dass Du nur 'plein-text' bekommst. Dann, von niemandem, auch nicht von Bekannten Datei-Anhänge öffnen, die nicht ausdrücklich angekündigt oder verabredet sind. Sie sollten zumindest im Betreff-Feld eindeutig angegeben werden, mit Grössenangabe. Wenn Du ausserdem den Firefox als Browser verwendest, kann an sich nichts passieren.

Download-Manager: Leech-Get ... ich überlege mir die ganze Zeit, welchen Download-Manager ich auf meinem anderen Computer habe, es fällt mir nicht ein. Ich glaube, dass es Leech-Get ist, aber die Frage lasse ich erstmal offen.

Du kannst auch die Board-Suche verwenden oder Dich direkt im entsprechenden Forum erkundigen: Alles rund um Windows.

SD

Hi, michiman!

Sieht ja jetzt schön sauber aus! Könnte sein, daß Dein Druckertreiber evtl. mal spinnt (muß nicht, kann aber), dann mußt Du ihn neu installieren.
Außerdem würde ich doch ernsthaft darüber nachdenken, einen guten Virenscanner zu installieren!
cacatoa

@Shadowdance: Danke für den Hinweis. Und wenn Dir dein Manager wieder einfallen sollte, dann einfach posten! Schoma Danke!!!

@cacatoa: Habe Ad-aware drauf. Hatte vor meinem Befall auch AntiVir und Spybot drauf. Kannst Du mir sagen, welche ich mir wieder beschaffen sollte? Die drei haben bei mir also nicht gerade das Sclimmste verhindern können. Aber war ja auch alles Freeware. Ich schätze ich muss mir dann wohl mal was ordentliches kaufen, oder? Tipps?

@all: Ich wollte mich nochmal recht herzlich bedanken, für die Hilfe die man hier bekommt. Alle super nett und scheinbar professionell. Man bekommt hier auch als nicht-Profi alles sehr gut erklärt und kann die Dinge so leichter umsetzen. Wirklich ganz großen Respekt an euch und nochmals Vielen Vielen Dank!!!!!!!
:daumenhoc

Hallo Michi,

wenn Du alle Updates gemacht hast, werden sie hier leider immer noch nicht angezeigt:

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Zum DL-Manager kann ich Dir keine Erfahrungsberichte geben, da ich bisher immer ohne ausgekommen bin (ja, so etwas gibt's noch... ;) )

@ michiman

Ad-aware ist kein Virenscanner, sondern sucht und entfernt spyware.
Solltest Dich schon mal mit antivir, Norton oder Kaspersky in der Vollversion befassen.
Gruß cacatoa :daumenhoc

Habe jetzt alles von MS runtergeladen! lles was da war! Sieht so aus, als wäre Windows immernoch net aktuell! Irgendwie bin ich zu doof! Oder ist es doch schon aktuell?

Logfile of HijackThis v1.98.2
Scan saved at 10:31:04, on 19.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Cisco Systems\VPN Client\vpngui.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
C:\WINDOWS\system32\wuauclt.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\Dokumente und Einstellungen\Mitschi\Eigene Dateien\Mitschi Privat\PROGRAMME\hijackthis1982\HijackThis.exe

O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [Epson Registrierungserinnerung] "C:\WINDOWS\temp\NavBrowser.exe" /r /i "C:\WINDOWS\temp\NavLoad.ini"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: CAPIControl.lnk = ?
O4 - Startup: HomeNet Control.lnk = ?
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098020081906
O17 - HKLM\System\CCS\Services\Tcpip\..\{21D657C6-DB9E-40CC-9FB1-FB9237F48035}: Domain = uni-bielefeld.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{21D657C6-DB9E-40CC-9FB1-FB9237F48035}: NameServer = 129.70.182.8,129.70.182.24
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = uni-bielefeld.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = uni-bielefeld.de

Hi, Michiman,
Dein Log sieht sauber aus. Du hast einen "Bösen" drauf:
C:\WINDOWS\system32\slserv.exe
Der ist allerdings normal, wenn Du sls Treiber drauf hast, meistens zuständig für den chipsatz im motherboard. "Meistens" heißt aber doch nicht "immer", deshalb würde ich die Datei mit Kaspersky online scan mal testen.
Ich denke Uni-Bielefeld hast Du absichtlich drauf.
Ansonsten verweise ich auf meinen Post von gestern 19:38.
cacatoa

Habe ich durchlaufen lassen. Weder Warnung noch irgendwie anders verdächtig! Das dürfte es dann gewesen sein! Danke für den Hinweis. Aber ich nutze SIS Treiber und habe SIS Chipsatz. Wird dann daher kommen!
Uni-Bielefeld ist absichtlich drauf! :aplaus: