|
Hallo erst mal habe ein Problem habe ein online scan von Trend Micro (House Call) gemacht ergebnis war REG NTRTKIT.A kann ich aber nicht löschen da es angeblich benutzt wird Norton und Bitdefender haben nichts gefunden kann mir jemand weiterhelfen????? |
Hi Johnny, beim googeln nach dem namen, fand ich einen Aliases für den Schädling. Es dürfte sich um diesen Freund handeln http://de.trendmicro-europe.com/ente...=WORM_RALEKA.A greetz Blackdog |
Erstelle mal bitte ein HijackThis-Log. Wie das geht, steht hier: http://www.trojaner-board.de/forum/u...c;f=6;t=004653 |
Hallo habe einen Hijack Log gemacht aber kenne mich nicht so gut aus was mach ich jetzt mit dem Log |
Poste den Inhalt des Logs bitte hier. [img]smile.gif[/img] |
Würde ich gerne aber weiss nicht wie hab noch nicht soviel ahnung davon sorry |
Schau hier: http://www.trojaner-board.de/51130-a...ijackthis.html Speichere das Log wie beschrieben als txt-Datei, öffne sie dann und kopiere den Inhalt hier in ein Posting. |
Logfile of HijackThis v1.97.7 Scan saved at 16:44:03, on 22.01.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Personal Firewall\NISUM.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\CAP3RSK.EXE C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE C:\MerkurNet\programme\ConClient.exe C:\WINDOWS\System32\WScript.exe C:\MerkurNet\programme\PrintPDF.exe C:\Programme\Adobe\Acrobat 5.0\Reader\AcroRd32.exe C:\Programme\Norton Personal Firewall\ccPxySvc.exe C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\fxssvc.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.the-exit.com/search R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.merkurnet.fleurop.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53D3C442-8FEE-4784-9A21-6297D39613F0} - C:\WINDOWS\System32\Winad2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\System32\spool\drivers\w32x86\3\CAP3ONN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [TweakPower] C:\Programme\TweakPower\TweakPower.exe -100- O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "C:\Programme\T-Online\Dialerschutz-Software\defender.exe" O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Startup: ZMatrix.lnk = C:\Programme\ZMatrix\matrix.exe O4 - Global Startup: MerkurNet Communication Client.lnk = C:\MerkurNet\programme\ConClient.exe O4 - Global Startup: MessageClient.lnk = C:\MerkurNet\programme\FLPMessageClient.vbs O4 - Global Startup: PrintPDF.lnk = C:\MerkurNet\programme\PrintPDF.exe O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O15 - Trusted Zone: http://merkurnet.fleurop.de O16 - DPF: msvcp71 - http://download.pestpatrol.com/Downl...ts/msvcp71.cab O16 - DPF: symsupportutil - https://www-secure.symantec.com/regi...upportutil.CAB O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab O16 - DPF: {E44151C8-0C6C-4A7D-B677-4FCC9552E957} - http://www.bcnx.com/suninfoconnect-lo.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/regi...ActiveData.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{700B1386-AC02-428B-8DD3-2D25A6E3BE04}: NameServer = 212.185.254.170 194.25.2.129 |
Schließe den IE. Markiere in HijackThis links durch setzen eines Häkchens die folgenden Einträge: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = h**p://www.the-exit.com/search O2 - BHO: (no name) - {53D3C442-8FEE-4784-9A21-6297D39613F0} - C:\WINDOWS\System32\Winad2.dll O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - h**p://webinstall.tscash.com/webinstall.cab O16 - DPF: {E44151C8-0C6C-4A7D-B677-4FCC9552E957} - h**p://www.bcnx.com/suninfoconnect-lo.cab Klick auf "Fix checked". Nutze die Windows Suche (>Start >Suchen >Nach Dateien und Ordnern), und suche nach einer SysUpd.exe: O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe Falls du sie findest, schick sie mir mal bitte. |
Aber auch brav weiterleiten Markus ... :cool: [img]graemlins/crazy.gif[/img] |
Habe gesucht aber nicht gefunden falls dir das weiterhilft der virus ist nicht auf c: sondern auf d:backup |
Na dann durchsuch halt deine d: ...... |
So ich habe d:formatiert virus ist weg Trend Micro hat nichts mehr gefunden ich danke dir aber für deine hilfe |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:48 Uhr. |
Copyright ©2000-2025, Trojaner-Board