|
Weiß nicht etwa 1-2 monate würde ich schätzen. Evtl. auch länger. |
OK, dann erstmal diese Maßnahme vorziehen: http://www.dingens.org -> Programm laden (dingens.org/win32sec.exe), ausführen, "Einzelner Computer" markieren und mit "OK" bestätigen. Dann System neu starten und wieder hier melden. |
Ok, weiter im Text: deaktiviere die Systemwiederherstellung! Das geht so: http://www.systemwiederherstellung-d...indows-xp.html Starte dann nochmals HijackThis, setze Häkchen neben den folgenden Einträge und wähle "Fix checked": R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll O2 - BHO: EventHandler Class - {9FB534E3-67CB-4307-AE0A-9E8B5581BE2C} - C:\PROGRA~2\WINDOW~2\WinSB.DLL O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.0002.1001\de\msntb.dll O4 - HKLM\..\Run: [Winsock2] WINDOWS2.EXE O4 - HKLM\..\Run: [Microsoft Services] lsrv.exe O4 - HKLM\..\Run: [agrkuwl] C:\WINDOWS\System32\eczbsuw.exe O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe O4 - HKLM\..\Run: [Winsock4] SASEURHJ.EXE O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe" O4 - HKLM\..\Run: [CashBack] C:\Programme\CashBack\bin\cashback.exe O4 - HKLM\..\Run: [NaviSearch] C:\Programme\NaviSearch\bin\nls.exe O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe O4 - HKLM\..\Run: [lmv] C:\WINDOWS\lmv.exe O4 - HKLM\..\RunServices: [Microsoft Services] lsrv.exe O4 - HKCU\..\Run: [Microsoft Services] lsrv.exe O4 - HKCU\..\RunOnce: [Winsock4] SASEURHJ.EXE O4 - HKCU\..\RunOnce: [Winsock2] WINDOWS2.EXE O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ht*p://public.windupdates.com/get_f...7002 f5b97a1db O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - ht*p://p1x.de/jinstall-1_4_2-windows-i586.cab Wie gesagt, diese markieren, "Fix checked" wählen, dann System neu starten, ein neues HijackThis-LogFile erstellen und hier posten. |
Nächste Schritte: 6.) Füge auch diese Dateien in den Quarantäneordner ein: nvms.dll mscb.dll msbe.dll 7.) Packe diesen ganzen Ordner mit den Dateien als Archiv und schütze dieses bei Erstellung mit dem Passwort "virus" (ohne Anführungszeichen). Sende dieses zip-Archiv mit den Dateien darin dann bitte an die in meiner Signatur angeführten Mailadressen. 8.) Lass eScan mit aktuellen Signaturen und gemäß der bebilderten Anleitung laufen: http://www.trojaner-board.de/42731-escan-anleitung.html Poste hier abschließend das eScan-LogFile. |
Diese 2 waren nicht vorhanden: O4 - HKCU\..\RunOnce: [Winsock4] SASEURHJ.EXE O4 - HKCU\..\RunOnce: [Winsock2] WINDOWS2.EXE Ich Fixe jetzt und reboote.. |
Zitat:
|
Ja habe dingens-Tool ausgeführt... Logfile of HijackThis v1.98.2 Scan saved at 01:56:12, on 23.08.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\System32\gearsec.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Program Files\WindUpdates\WinUpdt.exe C:\Program Files\WindUpdates\WinKA.exe C:\Programme\Analog Devices\AT-AR215 USB ADSL MODEM\DSLMON.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe C:\Dokumente und Einstellungen\Oliver\Desktop\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.giga.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: DSLMON.lnk = C:\Programme\Analog Devices\AT-AR215 USB ADSL MODEM\DSLMON.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O17 - HKLM\System\CCS\Services\Tcpip\..\{AEA5BE7F-EBDB-4002-90D9-6FBBFCC8A88E}: NameServer = 217.237.150.33 194.25.2.129 |
Zitat:
Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) -> Dem System fehlt es an Patches - einer der Gründe für den extremen Schädlingsbefall deines Systems. Die folgenden drei Prozesse im Taksmanager beenden: C:\Program Files\WindUpdates\WinUpdt.exe C:\Program Files\WindUpdates\WinKA.exe C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe Dann diese drei Dateien löschen! Wenn es im normalen Modus nicht klappt, lösch die im abgesicherten Modus. Diese Einträge fixen: O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe" Dann nochmals neues HijackThis-Logfile erstellen. |
Zitat:
Ist das normal das wenn ich es öffne kein PW angefordert wird? |
So, ich bin jetzt erstmal offline - das Gröbste ist weg, ohne allerdings von einem sicheren, sauberen System sprechen zu können - dazu war es zu sehr verseucht. Du solltest es daher über kurz oder lang neu aufsetzen. Die genannten Punkte kannst du aber noch abarbeiten. |
Zitat:
|
ich habe die zip datei geschickt aber als ich sie geöffnet habe wurde kein passwort verlangt liegt das daran das ich es erstellt habe??? |
Also bei mir wird ein Passwort verlangt. Bei dir ist wahrscheinlich nur die Vorschau über das Packprogramm geöffnet - dazu braucht es noch kein Passwort! Wie auch immer: führe diese Dateien nicht aus - behalte sie zwecks Beweissicherung im zip-Archiv. Den Quarantäneordner selbst kannst du jetzt löschen, denn du hast ja die zip-Datei. |
Wenn ich mein eScan Log File kopier und hier einfügen will hängt sich der IE auf................................ |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board