|
Nail.exe - Spion lässt sich nicht löschen Hallo zusammen! Gestern surfe ich nichtsahnend durchs Netz, wie aus dem Nichts wird mein Rechner bombardiert...mein IE geht auf und ungekannte Prozesse laufen ab... *ausschmück* *schauder* Das Ergebnis vom Lied war, dass mein e-scan 95 Plagegeister gefunden hat :-( Tja, hab sie fast alle gekillt bekommen, ausser Nail.exe, welches immer wieder kommt und im "windoof"-Verzeichnins sitzt. Trotz abgesichertem Modus und Systemwiederherstellung deaktiviert. Es dauert keine 2 Sek, dann ist das Ding wieder da... Weiß einer von Euch, was das ist und wie ich es wieder killen kann?! Grüße, schaezle |
@schaezle Zitat:
Auch hier bitte lesen: Wie poste ich falsch |
Lieber Rene, danke für Deinen wirklich nützlichen Tipp! Diese Threads habe ich bereits durchgelesen, bevor ich hier gepostet hab. Dort hab ich leider keine Lösung zu meinem Problem gefunden. Lässt sich nicht so einfach löschen das Ding... mfg |
Um es also auf den Punkt zu bringen... Es wäre sehr nett von Euch, wenn jemand wüßte, wie ich eine Datei löschen kann, die immer wieder auftaucht *gmbl* habs schon mit Amok DelDelay versucht, aber irgendwie gehts nicht. Da muss es einen Prozess geben, den ich erst beenden sollte, ich hab aber leider keinen Plan welcher das sein soll... *blubb* och mist *ärger* Trotzdem danke für Hilfe :-) |
Hallo schaezle, vielleicht hilft Dir dies weiter: http://forum.hijackthis.de/showthread.php?t=3172 Ich habe es aber noch nicht selbst getestet. Anwendung erfolgt also auf eigene Gefahr! ;) Es wäre schön, wenn Du anschließend berichten würdest... |
@schaezle Zitat:
BTW: kapiere nicht , warum du es bis dato nicht getan hast, du bist bloß kein Neuling hier ;). |
@Lutz mit Bezügen auf HJT-Forum würde ich vorsichtig umgehen. Die glauben z.B., einen Backdoor ohne neu zu installieren entfernen zu können.;). |
Zitat:
Hallo Rene-gad, was andere glauben, ist mir grundsätzlich erst einmal soetwas von egal... :lach: Aber es geht mir hier nicht um einen 'Glaubenskrieg' oder um 'Gutes Forum Schlechtes Forum', sonder -wie immer- lediglich um die Sache... Denn, es ist nicht immer alles falsch, was man an anderer Stelle liest. Und da wir hier ja unter uns sind - Die Anleitung ist imho auch 'nur' von einer dritten Seite übersetzt. Aber 'Pssst'... :D :D [/OFFTOPIC] |
Zitat:
hm... ja hier mein logfile. vielleicht bin ich kein neuling hier *denk* was ja noch nicht heißt, dass ich kein n00b mehr bin *unterlippevorschiebt* mir muss man doch in blondienensprache sagen, wie ich was reparieren soll *Denk* also...sieht so aus, als ist das ding hier gelistet, aber wie gehts wech?! :dummguck: Logfile of HijackThis v1.97.7 Scan saved at 15:20:49, on 16.05.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\soundman.exe C:\WINDOWS\mHotkey.exe C:\Programme\Winamp\winampa.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\PROGRA~1\Nokia\NOKIAP~1\COMPON~1\PHONEB~1\NOKIAV~1.EXE C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe C:\Programme\Trillian\trillian.exe C:\Programme\Winamp\winamp.exe C:\Dokumente und Einstellungen\***********\Desktop\HijackThis.exe F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] soundman.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe |
Hallo schaezle, deine HJT Version ist veraltert. Lade die neueste Version und poste uns ein aktuelles Log-File, siehe Anleitung: HiJackThis. Beachte die Hinweise! |
Logfile of HijackThis v1.99.1 Scan saved at 15:33:48, on 16.05.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\soundman.exe C:\WINDOWS\mHotkey.exe C:\Programme\Winamp\winampa.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\PROGRA~1\Nokia\NOKIAP~1\COMPON~1\PHONEB~1\NOKIAV~1.EXE C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe C:\Programme\Trillian\trillian.exe C:\Programme\Winamp\winamp.exe C:\Programme\HijackThis\HijackThis.exe F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] soundman.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O15 - Trusted Zone: h**p//ny.contentmatch.net (HKLM) O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe |
hallo nochmal! hab mit dem empfohlenen tool im abgesicherten modus das ding entfernt. danke für den tipp!!! :-))) mein e-scan ist clean und mein hijackthis file sieht nun so aus: Logfile of HijackThis v1.99.1 Scan saved at 17:26:40, on 16.05.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\soundman.exe C:\WINDOWS\mHotkey.exe C:\Programme\Winamp\winampa.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Winamp\Winamp.exe C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\HijackThis\HijackThis.exe O4 - HKLM\..\Run: [SoundMan] soundman.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe weiß nur nicht, was das mit dem ati hotkey poller - unknown owner - sein soll ?! ansonsten bin ich froh das ding loszusein und hoffe, dass ich mal wieder für ne weile verschont bleib von bösen geistern ;-) grüße, schaezle :) |
@schaezle Zitat:
SP2 musst du trotzdem schnellstmöglich installieren. |
Zitat:
auch wenn ich mich nun doof anhöre, aber ich weiß nicht, was SP2 sein soll... :dummguck: |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:32 Uhr. |
Copyright ©2000-2024, Trojaner-Board