|
Log-File HJ - Probleme mit Beseitigigung von istsvc Hi Leute! Ich brauche eure Erfahrung und Unterstützung. Habe schon mehrere Versuche gestartet meinen Rechner mit Hijackthis und diversen anderen Methoden (abgesicherter Modus usw.) zu säubern. Ich werde aber eine bestimmte Seuche einfach nicht los, und zwar istsvc.exe , verbindet sich mit slotch.com. Ich poste hier mal mein Log: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\WINDOWS\System32\MSOffice\services.exe D:\Programme\Trojancheck 6\tcguard.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\Krisz\Anwendungsdaten\spcl.exe D:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\System32\jilxyina.exe C:\Programme\ISTsvc\istsvc.exe D:\Programme\firefox.exe C:\WINDOWS\System32\wuauclt.exe D:\Hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1 O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\System32\MSOffice\services.exe O4 - HKLM\..\Run: [quQh] C:\dokumente und einstellungen\krisz\lokale einstellungen\temp\quQh.exe O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\Programme\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Ttct] C:\Dokumente und Einstellungen\Krisz\Anwendungsdaten\spcl.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab ...übrigens ist es mit xxxtoolbar der gleiche Mist. Ich warte auf eure Vorschläge. Vielen Dank schonmal! Gruß dave :sword2: |
Bitte poste ein komplettes Log (der "Kopfteil" fehlt) |
Überprüfe auch mal folgende Dateien bei http://virusscan.jotti.org/de und poste das Ergebnis: C:\WINDOWS\System32\MSOffice\services.exe C:\dokumente und einstellungen\krisz\lokale einstellungen\temp\quQh.exe |
Zitat:
Logfile of HijackThis v1.98.2 Scan saved at 23:38:57, on 26.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\WINDOWS\System32\MSOffice\services.exe D:\Programme\Trojancheck 6\tcguard.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\Krisz\Anwendungsdaten\spcl.exe D:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\System32\jilxyina.exe C:\Programme\ISTsvc\istsvc.exe D:\Programme\firefox.exe C:\WINDOWS\System32\wuauclt.exe D:\Hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1 O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\System32\MSOffice\services.exe O4 - HKLM\..\Run: [quQh] C:\dokumente und einstellungen\krisz\lokale einstellungen\temp\quQh.exe O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\Programme\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Ttct] C:\Dokumente und Einstellungen\Krisz\Anwendungsdaten\spcl.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab |
Dein System ist nicht gepatcht. Aktuell ist SP2 => www.windowsupdate.com besuchen und SP2 runterladen. |
Zitat:
File: services.exe Status: INFECTED/MALWARE Packers detected: UPX AntiVir No viruses found (1.29 seconds taken) Avast No viruses found (4.60 seconds taken) BitDefender BehavesLike:Trojan.Downloader (probable variant) (3.10 seconds taken) ClamAV No viruses found (2.91 seconds taken) Dr.Web Trojan.DownLoader.861 (4.63 seconds taken) F-Prot Antivirus No viruses found (0.56 seconds taken) Kaspersky Anti-Virus TrojanDownloader.Win32.Agent.eb (probable variant) (4.45 seconds taken) mks_vir No viruses found (2.40 seconds taken) NOD32 No viruses found (9.54 seconds taken) Norman Virus Control Sandbox: W32/Downloader; [ General information ] * File length: 32772 bytes. [ Changes to filesystem ] * Creates file C:\WINDOWS\SYSTEM\ÙÙÙÙÙÙÙÙ.exe. [ Network services ] * Looks for an Internet connection. * Opens URL: http://www.newiframe.biz/gamma.exe. [ Security issues ] * Starting downloaded file - potential security problem. [ Process/window information ] * Attemps to open C:\WINDOWS\SYSTEM\ÙÙÙÙÙÙÙÙ.exe NULL. (5.12 seconds taken) |
Zitat:
Was ergab die Überprüfung? |
Hi Cidre, meinst du, warum ich den SP2 nicht drauf habe?....naja, vielleicht sollte ich das mal machen, aber ich habe eher negatives darüber gehört, als positives. ;-) hier ist die auswertung von quQh.exe: File: quQh.exe Status: INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.) Packers detected: None AntiVir TR/Stomcc.3 (8.40 seconds taken) Avast No viruses found (11.29 seconds taken) BitDefender No viruses found (12.76 seconds taken) ClamAV No viruses found (21.70 seconds taken) Dr.Web Trojan.StatBlasterAd (23.86 seconds taken) F-Prot Antivirus No viruses found (1.76 seconds taken) Kaspersky Anti-Virus not-a-virus:AdWare.WinFetcher.b (22.88 seconds taken) mks_vir No viruses found (12.59 seconds taken) NOD32 No viruses found (11.81 seconds taken) Norman Virus Control No viruses found (37.22 seconds taken) |
Zitat:
Lade eScan AntiVirus Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken): R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 192.168.0.1 O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - (no file) O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\System32\MSOffice\services.exe O4 - HKLM\..\Run: [quQh] C:\dokumente und einstellungen\krisz\lokale einstellungen\temp\quQh.exe O4 - HKCU\..\Run: [Ttct] C:\Dokumente und Einstellungen\Krisz\Anwendungsdaten\spcl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softw...006_regular.cab Lösche diese Dateien: C:\Dokumente und Einstellungen\Krisz\Anwendungsdaten\spcl.exe C:\WINDOWS\System32\MSOffice\services.exe C:\dokumente und einstellungen\krisz\lokale einstellungen\temp\quQh.exe C:\WINDOWS\System32\jilxyina.exe - mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html - Neustart Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html - Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx - NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html - neues Log-File von HiJackThis und die Virus Log Information von eScan posten |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:04 Uhr. |
Copyright ©2000-2024, Trojaner-Board