ylikegsa.exe = malware? |
|
---|---|
17.02.2005, 20:03
Member
Beiträge: 28 |
|
|
|
17.02.2005, 20:34
Member
Beiträge: 669 |
#2
Lade folgende Programme herunter und update sie:
AdAware http://www.lavasoft.de/support/download/ Spybot S&D http://www.safer-networking.org/de/download/index.html eScan http://www.mwti.net/antivirus/free_utilities.asp Erster Schritt: Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren! Diagnose und Vorbereinigung: Deaktiviere den Virenwächter, falls vorhanden, und führe mit AdAware und Spybot S&D im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten) einen vollständigen Systemscan durch. Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware: "Next", Spybot S&D: "markierte Probleme beheben" drücken) (DSO Exploit im Spybot S&D kannst Du vernachlässigen, ist ein Bug im Programm. Wenn Du willst, kannst Du ihn mit dem Fix von hier beseitigen, ist für die Funktion von Spybot aber nicht notwendig). Lese dir aufmerksam die Informationen auf folgender Seite zu eScan durch: http://www.trojaner-info.de/hijacker/escan.shtml Update und scanne mit eScan entsprechend der Beschreibung für die Version 4.5.1 oder jünger von trojaner-info. Setze im eScan alle Häkchen, außer bei "Folder" und wähle bei "Drives" "All Local Drives" aus und ein paar Zeilen darunter "Scan All Files" anstelle von "Program Files". Drücke dann den Scan-Button um den Vorgang zu starten (das kann je nach Größe deiner Festplatten ziemlich lange dauern, aber unbedingt zu Ende scannen lassen und nicht abbrechen!). Lass dir danach das eScan-Log anzeigen und speichere es ab. Öffne es mit dem Editor und suche per Suchfunktion nach "infected". Kopiere alle betroffenen Zeilen vollständig und poste sie hier im Forum (komlpetter Pfad + Datei, sowie Art der Infektion!) Virenwächter danach wieder aktivieren! HijackThis-Einträge: Weiterhin im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten): scanne mit HijackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken) Zitat R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.roggensäcke.de/ wenn unbekannt, fixenKennst du folgende Programme mit zugehörigen Einträgen? Bitte gib dazu eine Rückmeldung. Zitat O4 - HKLM\..\Run: [strtfx] "C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe"Versteckte und geschützte Systemdateien im Explorer anzeigen Öffne den Windows Explorer. Gehe auf Extras -> Ordneroptionen... -> Ansicht Haken entfernen: "Geschützte Systemdateien ausblenden (empfohlen)" sowie auswählen: "Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen" Nun solltest du im Explorer alle Dateien finden können. Scanne daraufhin am besten einmal die ylikegsa.exe hier: http://virusscan.jotti.org/ Erstelle danach ein neues HijackThis-Log und poste es zusammen mit den anderen angeforderten Informationen (eScan-Ergebnisse, HijackThis-einträge, jotti-Scan ...). __________ "life's a bitch, turn around and she'll backstab you for a buck." Dieser Beitrag wurde am 17.02.2005 um 20:34 Uhr von Malkesh editiert.
|
|
|
18.02.2005, 14:30
Member
Themenstarter Beiträge: 28 |
#3
Habe alle Schritte von Malkesh durchgeführt
HijackThis-Einträge: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.roggensäcke.de/ wenn unbekannt, fixen Dabei handelt es sich um meine eigen Homepage O4 - HKLM\..\Run: [cvlnavm] C:\WINDOWS\System32\ylikegsa.exe fixen War im LogFile nicht mehr vorhanden O4 - Global Startup: CAPIControl.lnk = ? fixen O4 - Global Startup: HomeNet Control.lnk = ? fixen Habe die gefixt, war aber keine gute Idee, sind für mein INet-Zugang notwendig, habe ich aber wieder hinbekommen 09 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing) fixen O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing) fixen O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab fixen erledigt O23 - Service: PsShutdown - Unknown - C:\WINDOWS\System32\PSSDNSVC.EXE fixen gefixt, ist aber wieder da. siehe LogFile O4 - HKLM\..\Run: [strtfx] "C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe" O4 - HKLM\..\Run: [sndml] "C:\Programme\T-Eumex KommunikationsCenter\sndml.exe" O4 - HKLM\..\Run: [FLMBROWSERMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe O4 - HKCU\..\Run: [LauncherStart] "C:\Programme\T-Eumex KommunikationsCenter\TrayLaunch.exe" ausser mouse32a.exe werden diese für meine Telefonanlage benötigt. Die mouse... wird wahrscheinlich für meine Medion Mouse sein. escan Wed Feb 16 20:24:34 2005 => File C:\WINDOWS\NDNuninstall6_10.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Tak Wed Feb 16 20:24:34 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Take Fri Feb 18 00:38:13 2005 => File C:\Dokumente und Einstellungen\All Users\Dokumente\Downloads\Winamp\Winamp 5.05Final + patch-ITA- + mIRC plugin + MDesktop v1.0.2 + streamripper v1.54 + keyg*hier nicht* ][by_neo.rar infected by "Trojan-Dropper.Win32.Delf.fl" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:50 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\023410EF infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:50 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\02685496 infected by "Trojan-Spy.Win32.Briss.e" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:50 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\07E12C1E infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0C044187 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0CB846C2 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0CCA2B22 infected by "Email-Worm.Win32.NetSky.q" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0E305155 infected by "not-a-virusorn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0E337B51 infected by "not-a-virusorn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0E545B92 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:52 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0EDD3EFB infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:52 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\15141155 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:52 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\194A5F3A infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:52 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\19A35575 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:52 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1A0D3663 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:53 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1CC4062B infected by "Trojan-Dropper.Win32.Delf.z" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:53 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1DDA0881 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:54 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\248C7C7E infected by "Trojan-Clicker.Win32.Delf.r" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:54 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\248F267B infected by "Trojan-Spy.Win32.Briss.i" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:54 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\24925077 infected by "Trojan-Downloader.Win32.IstBar.er" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:55 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\272F4DB4 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:55 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\309B5B92 infected by "not-a-virusornWare.Dialer.Star" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:55 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\34F725AE infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:55 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\35D876B6 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:56 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\39CD329F infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:56 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\409B75FE infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:56 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\439B46F6 infected by "Trojan-Spy.Win32.Briss.j" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:57 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\448E33AB infected by "not-a-virusorn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:57 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\45AA1DD4 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:57 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\48303295 infected by "Trojan-Downloader.Win32.IstBar.er" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:57 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\484E4AB0 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:57 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\488E6087 infected by "not-a-virus:AdWare.BiSpy.n" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:57 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\49366FB1 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:58 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\53C16E94 infected by "Trojan-Spy.Win32.Briss.j" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:58 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\568B7189 infected by "not-a-virusornWare.Dialer.Star" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:58 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\582F069F infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:58 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\591157A7 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:59 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\5F83111D infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:59 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\6A9722D3 infected by "Trojan-Downloader.JS.gen" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:59 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\73CE1D96 infected by "Trojan.Win32.StartPage.sv" Virus. Action Taken: No Action Taken. Fri Feb 18 01:45:59 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\77A463FC infected by "not-a-virusornWare.Dialer.Star" Virus. Action Taken: No Action Taken. Fri Feb 18 02:55:09 2005 => Scanning Folder: F:\My Shared Folder\Goa\infected mushroom\*.* Fri Feb 18 02:55:09 2005 => Scanning File F:\My Shared Folder\Goa\infected mushroom\GOA - Infected Mushroom - Crazy D.mp3 Fri Feb 18 02:55:09 2005 => Scanning File F:\My Shared Folder\Goa\infected mushroom\Infected Mushroom - BP Empire.mp3 Fri Feb 18 02:55:09 2005 => Scanning File F:\My Shared Folder\Goa\infected mushroom\infected mushroom - expose.mp3 Fri Feb 18 02:55:10 2005 => Scanning File F:\My Shared Folder\Goa\infected mushroom\Infected Mushroom - Gamma Goblins (remix).mp3 Fri Feb 18 02:55:10 2005 => Scanning File F:\My Shared Folder\Goa\infected mushroom\Infected Mushroom - None of This is Real.mp3 Fri Feb 18 02:55:10 2005 => Scanning File F:\My Shared Folder\Goa\infected mushroom\Infected Mushroom - Twisted.mp3 Fri Feb 18 02:55:10 2005 => Scanning File F:\My Shared Folder\Goa\infected mushroom\Infected Mushroom - Xerox Gravity Waves.mp3 Fri Feb 18 02:55:10 2005 => Scanning File F:\My Shared Folder\Goa\infected mushroom\Infected Mushroom Pussy Trance GOA.mp3 Fri Feb 18 02:55:10 2005 => Scanning File F:\My Shared Folder\Goa\infected mushroom\space cat & infected mushroom - cat on mushroom.mp3 Fri Feb 18 02:55:26 2005 => Scanning File F:\My Shared Folder\Goa\Yahel\Yahel.&.Infected.Mushroom.-.Live.@.Japan.Goa.mp3 Fri Feb 18 03:02:56 2005 => Scanning Folder: F:\My Shared Folder\Rock\Sum41\Sum 41 - Does This Look Infected\*.* Fri Feb 18 03:02:56 2005 => Scanning File F:\My Shared Folder\Rock\Sum41\Sum 41 - Does This Look Infected\Sum 41 - Does This Look Infected - 01 - Hell Song.mp3 Fri Feb 18 03:02:57 2005 => Scanning File F:\My Shared Folder\Rock\Sum41\Sum 41 - Does This Look Infected\Sum 41 - Does This Look Infected - 02 - Over My Head.mp3 Fri Feb 18 03:02:57 2005 => Scanning File F:\My Shared Folder\Rock\Sum41\Sum 41 - Does This Look Infected\Sum 41 - Does This Look Infected - 03 - My Direction.mp3 Fri Feb 18 03:02:57 2005 => Scanning File F:\My Shared Folder\Rock\Sum41\Sum 41 - Does This Look Infected\Sum 41 - Does This Look Infected - 04 - Still Waiting.mp3 Fri Feb 18 03:02:57 2005 => Scanning File F:\My Shared Folder\Rock\Sum41\Sum 41 - Does This Look Infected\Sum 41 - Does This Look Infected - 05 - Asshole.mp3 Fri Feb 18 03:02:57 2005 => Scanning File F:\My Shared Folder\Rock\Sum41\Sum 41 - Does This Look Infected\Sum 41 - Does This Look Infected - 06 - Yesterday.Com.mp3 Fri Feb 18 03:02:57 2005 => Scanning File F:\My Shared Folder\Rock\Sum41\Sum 41 - Does This Look Infected\Sum 41 - Does This Look Infected - 07 - All Messed Up.mp3 Fri Feb 18 03:02:57 2005 => Scanning File F:\My Shared Folder\Rock\Sum41\Sum 41 - Does This Look Infected\Sum 41 - Does This Look Infected - 08 - Mr. Amsterdam.mp3 Fri Feb 18 03:02:57 2005 => Scanning File F:\My Shared Folder\Rock\Sum41\Sum 41 - Does This Look Infected\Sum 41 - Does This Look Infected - 09 - Thanks For Nothing.mp3 Fri Feb 18 03:02:57 2005 => Scanning File F:\My Shared Folder\Rock\Sum41\Sum 41 - Does This Look Infected\Sum 41 - Does This Look Infected - 10 - Hyper-Insomnia.mp3 Fri Feb 18 03:02:57 2005 => Scanning File F:\My Shared Folder\Rock\Sum41\Sum 41 - Does This Look Infected\Sum 41 - Does This Look Infected - 11 - Billy Spleen.mp3 Fri Feb 18 03:02:57 2005 => Scanning File F:\My Shared Folder\Rock\Sum41\Sum 41 - Does This Look Infected\Sum 41 - Does This Look Infected - 12 - Hooch.mp3 so, habe alles befolgt. Hier kommt noch das LogFile. Die YLIKEGSA.EXE kann ich nicht mehr finden. Ist im Log auch nicht aufgeführt. Ist es die PSSDNSVC:EXE?? Habe hier etwas gefunden http://www.meduniwien.ac.at/itsc/howtos/sicherheitstipps/rmworm/rmWorm.txt LogFile Logfile of HijackThis v1.99.1 Scan saved at 13:26:49, on 18.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe C:\Programme\T-Eumex KommunikationsCenter\sndml.exe C:\Programme\Medion keyboard utility\1.3\KbdAp32A.exe C:\Programme\Browser mouse\1.3\mouse32a.exe C:\Programme\T-Online\ISDN SpeedManager\tomcat.exe C:\Programme\Canon\MultiPASS4\MPTBox.exe C:\WINDOWS\System32\RunDLL32.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\T-Eumex KommunikationsCenter\TrayLaunch.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\system32\drivers\KodakCCS.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\VeriSign\NAVI\naviagent.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\SCARDS32.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Canon\MultiPASS4\MPDBMgr.exe C:\Dokumente und Einstellungen\All Users\Dokumente\Downloads\HiJackThis\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.roggensäcke.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [strtfx] "C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe" O4 - HKLM\..\Run: [sndml] "C:\Programme\T-Eumex KommunikationsCenter\sndml.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medion keyboard utility\1.3\KbdAp32A.exe O4 - HKLM\..\Run: [FLMBROWSERMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\tomcat.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [MPTBox] C:\Programme\Canon\MultiPASS4\MPTBox.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKCU\..\Run: [LauncherStart] "C:\Programme\T-Eumex KommunikationsCenter\TrayLaunch.exe" O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe O23 - Service: MpService - Canon Inc. - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PsShutdown (PsShutdownSvc) - Unknown owner - C:\WINDOWS\System32\PSSDNSVC.EXE O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - SCM Microsystems - C:\WINDOWS\SCARDS32.EXE wie gesagt, ich habe die Datei gelöscht und nach dem hochfahren war die PSSDNSVC.EXE wieder da. Gruß Roggi |
|
|
18.02.2005, 17:23
Member
Beiträge: 669 |
#4
Zitat Fri Feb 18 01:45:50 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\023410EF infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.Wie du siehst steckt jede Menge Ungeziefer in der Norton Quarantaine, diese Dateien am besten alle löschen. Die mp3's mit "infected" im Interpret/Titel sind natürlich ungefährlich ;) CWShredder Besorge dir den CWShredder http://cwshredder.net/bin/CWShredder.exe Scanne damit dein System und bereinige eventuelle Funde (bitte melden, wenn er fündig wird). HijackThis-Einträge: Weiterhin im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten): scanne mit HijackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken) Zitat O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInitLöschen von infizierten Dateien KillBox http://www.bleepingcomputer.com/files/killbox.php Öffne die Killbox => Delete File on Reboot => und kopiere nacheinander die nachfolgenden Dateien mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann antworte mit "no" usw. bis zur letzten Datei, dann mit "yes" antworten Zitat C:\WINDOWS\NDNuninstall6_10.exeFühre nach dem Löschen und fixen am besten noch einmal einen Scan mit der gleichen Vorgehensweise wie bereits oben beschrieben durch und poste die Ergebnisse wieder zusammen mit einem neuen HijackThis-Log. __________ "life's a bitch, turn around and she'll backstab you for a buck." Dieser Beitrag wurde am 18.02.2005 um 17:36 Uhr von Malkesh editiert.
|
|
|
18.02.2005, 19:07
Member
Themenstarter Beiträge: 28 |
|
|
|
18.02.2005, 19:16
Member
Beiträge: 669 |
#6
Scans und fixes etc. generell im abgesicherten Modus.
Im normalen Modus könnte es sonst passieren, dass durch irgendwelche 'Nutzungen' der Zugriff blockiert ist. Sollte jedoch auch im abgesicherten Modus mal eine Zugriffsverweigerung auftreten, versuchen über den Taskmanager den entsprechenden Prozess zu beenden. HijackThis-Einträge ebenfalls im abgesicherten fixen, scannen jedoch im normalen Modus (dadurch bekommt man einen besseren Überblick, was alles drauf is, weil im normalen Modus mehr geladen wird als nur das Grundgerüst) __________ "life's a bitch, turn around and she'll backstab you for a buck." Dieser Beitrag wurde am 18.02.2005 um 19:17 Uhr von Malkesh editiert.
|
|
|
18.02.2005, 20:51
Member
Themenstarter Beiträge: 28 |
#7
@ Malkesh
das Sytem läuft, ich komme wieder mit Firewall ins INET. Die PSSDNSVC.EXE hatte ich bereits mit rmworm beseitigt. Die 023-servicesShutdown (PSShutdownSvc) - Unkown owner- war überhaupt nicht vorhanden. Bei KillBox C:\WINDOWS\NDNuninstall6-10.exe C:\WINDOWS\NDNuninstall6-22.exe Waren auch nicht vorhanden. Dafür gab es eine NDNuninstall6-30.exe, die ich aber gleich mit KillBox gelöscht hatte. Soll ich noch irgendwelche Scanner rüberlaufen lassen?? Total geil, ich hätte total lust Dir einen auszugeben. Hier nochmal: Logfile of HijackThis v1.99.1 Scan saved at 20:38:07, on 18.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe C:\Programme\T-Eumex KommunikationsCenter\sndml.exe C:\Programme\Medion keyboard utility\1.3\KbdAp32A.exe C:\Programme\Browser mouse\1.3\mouse32a.exe C:\Programme\T-Online\ISDN SpeedManager\tomcat.exe C:\Programme\Canon\MultiPASS4\MPTBox.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\T-Eumex KommunikationsCenter\TrayLaunch.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\system32\drivers\KodakCCS.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\VeriSign\NAVI\naviagent.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\SCARDS32.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exe C:\Programme\Opera7\Opera.exe C:\Dokumente und Einstellungen\All Users\Dokumente\Downloads\HiJackThis\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.roggensäcke.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [strtfx] "C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe" O4 - HKLM\..\Run: [sndml] "C:\Programme\T-Eumex KommunikationsCenter\sndml.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medion keyboard utility\1.3\KbdAp32A.exe O4 - HKLM\..\Run: [FLMBROWSERMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\tomcat.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [MPTBox] C:\Programme\Canon\MultiPASS4\MPTBox.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKCU\..\Run: [LauncherStart] "C:\Programme\T-Eumex KommunikationsCenter\TrayLaunch.exe" O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Capictrl.exe.lnk = C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe O4 - Global Startup: HNetCtrl.exe.lnk = C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe O23 - Service: MpService - Canon Inc. - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - SCM Microsystems - C:\WINDOWS\SCARDS32.EXE Kannst Du mir noch mal erklären, was das fixen ist/bewirkt?? Poste bitte unbedingt eine Antwort. Gruß Roggi Dieser Beitrag wurde am 18.02.2005 um 20:59 Uhr von Roggi01 editiert.
|
|
|
18.02.2005, 21:24
Member
Beiträge: 669 |
#8
Wunderbar, das Logfile sieht jetzt sauber aus. Wenn weder Adaware, Spybot noch eScan weiter fündig geworden sind, hast du's wohl überstanden (deine Symptome sind ja auch weg).
Zu deiner Frage: HijackThis scannt die Windows Registry auf Schlüssel und Werte die von Malware oft verändert/angegriffen werden und zeigt diese an. Das fixen bedeutet also nichts anderes als unerwünschte Einträge zu löschen (z.B. autorun ...). __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
19.02.2005, 20:02
Member
Themenstarter Beiträge: 28 |
#9
Hallo Malkesh,
hoffe das Du das Thema abonniert hattest. Heute trat wieder das gleiche Prob auf. Weis nicht warum. Im ESCAN hatte ich einen Total error mit der Datei Sat Feb 19 19:29:19 2005 => Result: ERROR!!! File C:\WINDOWS\System32\ExpBar1.ocx is Not Scanned Habe diese Datei zur Sicherheit gelöscht. Mein LogFile sieht so aus: Logfile of HijackThis v1.99.1 Scan saved at 19:05:12, on 19.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\system32\drivers\KodakCCS.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\VeriSign\NAVI\naviagent.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\SCARDS32.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe C:\Programme\T-Eumex KommunikationsCenter\sndml.exe C:\Programme\Medion keyboard utility\1.3\KbdAp32A.exe C:\Programme\Browser mouse\1.3\mouse32a.exe C:\Programme\T-Online\ISDN SpeedManager\tomcat.exe C:\Programme\Canon\MultiPASS4\MPTBox.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\T-Eumex KommunikationsCenter\TrayLaunch.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe C:\PROGRA~1\ICQ\ICQ.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\All Users\Dokumente\Downloads\HiJackThis\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.roggensäcke.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll [b]O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx [b] O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [strtfx] "C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe" O4 - HKLM\..\Run: [sndml] "C:\Programme\T-Eumex KommunikationsCenter\sndml.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medion keyboard utility\1.3\KbdAp32A.exe O4 - HKLM\..\Run: [FLMBROWSERMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\tomcat.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [MPTBox] C:\Programme\Canon\MultiPASS4\MPTBox.exe [b]O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup [b] [b]O4 - HKLM\..\Run: [nwiz] nwiz.exe /install [b] O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKCU\..\Run: [LauncherStart] "C:\Programme\T-Eumex KommunikationsCenter\TrayLaunch.exe" O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Capictrl.exe.lnk = C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe O4 - Global Startup: HNetCtrl.exe.lnk = C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe O23 - Service: MpService - Canon Inc. - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - SCM Microsystems - C:\WINDOWS\SCARDS32.EXE kannst Du mir noch einmal helfen?? wäre total super Gruß Roggi Dieser Beitrag wurde am 24.02.2005 um 22:20 Uhr von Sabina editiert.
|
|
|
20.02.2005, 02:24
Member
Beiträge: 669 |
#10
Merkwürdig, ich kann im Moment nichts an deinem Log erkennen.
Brachte eScan nach dem löschen dieser Datei weitere Vorfälle/Infektionen? Wie stehts mit AdAware und Spybot? Des weiteren würde ich dir empfehlen mal www.windowsupdate.com zu besuchen und alle Sicherheitspatches zu installieren (wenn ein Patch installiert wurde und du neu gestartet hast, gleich nochmal zur Sicherheit nach schauen das du auch alles hast, manche Patches sind erst verfügbar nachdem bestimmte Vorgänger installiert wurden) __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
20.02.2005, 13:17
Member
Themenstarter Beiträge: 28 |
#11
Hi Malkesh,
habe diese dateien erneut bei Adaware im LogFile stehen. Kann diese aber nicht im Verzeichnis finden. Wieso nicht? => Scanning File C:\WINDOWS\NDNuninstall6_10.exe Wed Feb 16 20:24:34 2005 => File C:\WINDOWS\NDNuninstall6_10.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Wed Feb 16 20:24:34 2005 => Scanning File C:\WINDOWS\NDNuninstall6_22.exe Wed Feb 16 20:24:34 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Wed Feb 16 20:24:34 2005 => Scanning File C:\WINDOWS\NDNuninstall6_30.exe Gruß Ralf P.S. Es öffnet sich mehrmal ein Fenster "Java Script", >Sie haben eine neue Nachricht<; anstatt mit ok schließe ich das Fenster mit dem Kreuz. Dieser Beitrag wurde am 20.02.2005 um 13:21 Uhr von Roggi01 editiert.
|
|
|
20.02.2005, 19:06
Member
Beiträge: 1132 |
#12
Wie Malkesh Dir schon geschrieben hat, ist Dein HJT Log sauber!
Die Meldung sagt Dir, dass Du eine "Private Message" im Board hast! Einfach in der Kopfzeile "Private Messages" anklicken und Du kannst sie ansehen. Lösche mit der Killbox alle von eScan als "infected" gemeldeten Dateien, mit Ausnahme derer, die als "Tool.Win32.Reboot" markiert wurden. Das war's dann Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
24.02.2005, 22:19
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo@Roggi01
Mit HijackThis loeschen: öffne das HijackThis Open the Misc Tools section-->delete a file of reboot dann reinkopieren C:\WINDOWS\NDNuninstall6_10.exe 4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "yes" WinSock XP Fix 1.2 fix XP internet connectivity http://www.spychecker.com/program/winsockxpfix.html WinSock XP Fix offers a last resort if your Internet connectivity has been corrupted due to invalid or removed registry entries. It can often cure the problem of lost connections after the removal of Adware components or improper uninstall of firewall applications or other tools that modify the XP network and Winsock settings. If you encounter connection problems after removing network related software, Adware or after registry clean-up; and all other ways fail, then give WinSock XP Fix a try. It can create a registry backup of your current settings, so it is fairly safe to use. We actually tested it on a test machine that was having a Winsock problem due to some Adware removal, and after running the utility and rebooting, the connectivity was restored. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 24.02.2005 um 22:25 Uhr von Sabina editiert.
|
|
|
25.02.2005, 00:10
Member
Themenstarter Beiträge: 28 |
#14
Hi Sabina,
erst einmal bedanke ich mich für Deine schnelle Hilfe. Die mit HJT zu löschende datei existiert nicht mehr. Hier ein aktueller LogFile: Logfile of HijackThis v1.99.0 Scan saved at 00:03:58, on 25.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\system32\drivers\KodakCCS.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\VeriSign\NAVI\naviagent.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\SCARDS32.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe C:\Programme\T-Eumex KommunikationsCenter\sndml.exe C:\Programme\Medion keyboard utility\1.3\KbdAp32A.exe C:\Programme\Browser mouse\1.3\mouse32a.exe C:\Programme\T-Online\ISDN SpeedManager\tomcat.exe C:\Programme\Canon\MultiPASS4\MPTBox.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\T-Eumex KommunikationsCenter\TrayLaunch.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe C:\PROGRA~1\ICQ\ICQ.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Opera7\Opera.exe C:\Dokumente und Einstellungen\All Users\Dokumente\Downloads\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.roggensäcke.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [strtfx] "C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe" O4 - HKLM\..\Run: [sndml] "C:\Programme\T-Eumex KommunikationsCenter\sndml.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medion keyboard utility\1.3\KbdAp32A.exe O4 - HKLM\..\Run: [FLMBROWSERMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\tomcat.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [MPTBox] C:\Programme\Canon\MultiPASS4\MPTBox.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [LauncherStart] "C:\Programme\T-Eumex KommunikationsCenter\TrayLaunch.exe" O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Capictrl.exe.lnk = C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe O4 - Global Startup: HNetCtrl.exe.lnk = C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: InCD Helper - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Kodak Camera Connection Software - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe O23 - Service: MpService - Canon Inc. - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: VeriSign Updater - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: CHIPDRIVE SCARD Service - SCM Microsystems - C:\WINDOWS\SCARDS32.EXE Leider bin ich mit der englischen Sprache ein bißchen auf dem Kriegsfuss. Was muß ich denn machen? Fixen?? Gruß Ralf Konnte nicht warten. Habe ein Backup erstellt und dann Fix betätigt. Und siehe da, es läuft..... Leider nur kurz. Jetzt ist das Problem wieder vorhanden. Ich verstehe das nicht mehr. mal ist das da, dann wieder nicht. Eine Wiederholung ist ergebnislos. Gruß Roggi Dieser Beitrag wurde am 25.02.2005 um 03:17 Uhr von Roggi01 editiert.
|
|
|
25.02.2005, 23:31
Ehrenmitglied
Beiträge: 29434 |
#15
Hallo@Roogi01
Scann doch bitte noch mal mit escan und kopiere alles raus /infected (was nicht mit dem Norton zusammenhaengt. Dann noch eine andere Frage...welches Problem besteht eigentlich noch im Moment '?Beschreib es bitte genau. Falls es die Firewall ist, so konfiguriere sie bitte korrekt. Oder ueberpruefe, ob die Firewall von XP an/aus ist __________ MfG Sabina rund um die PC-Sicherheit |
|
|
Kann mir jemand mal sagen wie ich die ylikegsa.exe loswerde. Im Ordner Windows/system32/.. bekomme ich die datei nicht angezeigt. Auch eine Suche mit dem Explorer blieb ergebnislos. Ich weiss das ich im Dezember das selbe Problem hatte. Die Löschung hatte ich nach Anleitung einer Userin durchgeführt. War recht umfangreich. Bekomme ich jedenfalls alleine nicht hin.
Hilft mir jemand????
Hier noch einmal das Log
running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe
C:\Programme\T-Eumex KommunikationsCenter\sndml.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Medion keyboard utility\1.3\KbdAp32A.exe
C:\Programme\Browser mouse\1.3\mouse32a.exe
C:\WINDOWS\System32\ylikegsa.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\T-Online\ISDN SpeedManager\tomcat.exe
C:\Programme\T-Eumex KommunikationsCenter\TrayLaunch.exe
C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe
C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Opera7\Opera.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Downloads\HiJackThis\HijackThis.ex e
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.roggensäcke.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [strtfx] "C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe"
O4 - HKLM\..\Run: [sndml] "C:\Programme\T-Eumex KommunikationsCenter\sndml.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medion keyboard utility\1.3\KbdAp32A.exe
O4 - HKLM\..\Run: [FLMBROWSERMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [cvlnavm] C:\WINDOWS\System32\ylikegsa.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\tomcat.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [LauncherStart] "C:\Programme\T-Eumex KommunikationsCenter\TrayLaunch.exe"
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F679C9CA-077C-4D27-9006-4563EA15CE8A}: NameServer = 217.237.150.225 217.237.150.141
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InCD Helper - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Kodak Camera Connection Software - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: VeriSign Updater - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PsShutdown - Unknown - C:\WINDOWS\System32\PSSDNSVC.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: CHIPDRIVE SCARD Service - SCM Microsystems - C:\WINDOWS\SCARDS32.EXE
Und ein weiterer Scan
Service load:
0% 100%
File: PSSDNSVC.EXE
Status:
OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
None
AntiVir
No viruses found (0.83 seconds taken)
Avast
No viruses found (3.01 seconds taken)
AVG Antivirus
No viruses found (1.43 seconds taken)
BitDefender
No viruses found (0.97 seconds taken)
ClamAV
No viruses found (1.21 seconds taken)
Dr.Web
No viruses found (1.30 seconds taken)
F-Prot Antivirus
No viruses found (0.09 seconds taken)
Fortinet
No viruses found (0.41 seconds taken)
Kaspersky Anti-Virus
No viruses found (1.00 seconds taken)
mks_vir
No viruses found (0.25 seconds taken)
NOD32
No viruses found (0.48 seconds taken)
Norman Virus Control
No viruses found (0.71 seconds taken)