znzz.com./rasautou.exe - automatisches Einwählen nach Systemstart

Home » Spyware & Browser Hijacker Support Forum » znzz.com./rasautou.exe - automatisches Einwählen nach Systemstart » Themenansicht

Seite(n): 1 2 3 4 5

Antworten

znzz.com./rasautou.exe - automatisches Einwählen nach Systemstart Thema ist geschlossen!
Thema ist geschlossen!
22.05.2004, 17:14 Sabina Ehrenmitglied Beiträge: 29434	#16 @GraJoE Deaktiviere die Wiederherstellung (kannst du nach der Reinigung wieder aktivieren) http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Fixe: O4 - HKLM\..\Run: [02E380A4] C:\WINDOWS\System32\uuwnocoriqqmpi.exe O4 - HKLM\..\RunServices: [BF6DD575] C:\WINDOWS\System32\uuwnocoriqqmpi.exe O4 - HKCU\..\Run: [MS Sound Config 16bit] sndcfg16.exe O4 - HKLM\..\RunServices: [MS Sound Config 16bit] sndcfg16.exe O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exe O4 - HKLM\..\Run: [rn4d] C:\WINDOWS\System32\f0r0r\kolder.exe C:\WINDOWS\System32\f0r0r\dirote.exe AUCH DIE 04- EINTRAEGE IM TASKmANGER DEAKTIVIEREN O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.download-url.de/install/StarInstall.ocx neustarten #OnlineScann http://housecall.trendmicro.com/ ##lade von dieser Site den Search&Destroy und den AdAware-free (vor dem Scannen updaten) und den CWSHredder....scannen http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html #Lade den Webwasher http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html ##Lade den e-scann (mwav.exe), scanne alle Dateien, loesche manuell, was das Tool noch anzeigt http://www.mwti.net/antivirus/free_utilities.asp Poste das Log dann noch mal Sabina __________ MfG Sabina rund um die PC-Sicherheit

22.05.2004, 18:10 raman Moderator Beiträge: 7805	#17 @GraJoe Es warer nett, wenn du alles was sich in diesem Verzeichniss befindet C:\WINDOWS\System32\f0r0r an virus@protecus.de schicken koenntest __________ MfG Ralf SEO-Spam Hunter

24.05.2004, 14:27 kolber ...neu hier Beiträge: 2	#18 ja ok alles klar! fixen is löschen oder? oder was? und wie mach ich des dann?

24.05.2004, 14:37 raman Moderator Beiträge: 7805	#19 Jein, fixen bedeutet die angegebenen Eintraege anzuhaken, dann "fix checked" druecken und neu starten. Dabei werden nur Eintraege in der Registrierung geloescht, um die Dateien muss man sich selber noch kuemmern.... __________ MfG Ralf SEO-Spam Hunter

25.05.2004, 14:40 Mr.Mojo ...neu hier Beiträge: 2	#20 G´Morgen! bin neu hier,und auch im allgemeinen eher anfänger in sicherheitsfragen,und habe ein problem der gleichen art. rasautou.exe will sich immer ins netz einwählen und zwar "wayner.dnsalias.net",kann mri vielleicht jemnad weiterhelfen,wär sehr nett,danke! -- Mr.Mojo [/url]

25.05.2004, 15:55 Mr.Mojo ...neu hier Beiträge: 2	#21 alles klar hier ist meine log: Logfile of HijackThis v1.97.7 Scan saved at 14:26:54, on 25.05.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Winamp\winampa.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\WINNT32.EXE C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\rasautou.exe C:\Dokumente und Einstellungen\nAmdAs\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1977.zip\HijackThis.exe C:\WINDOWS\System32\wpabaln.exe O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Winsock2 drivers] WINNT32.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\RunOnce: [Winsock2 drivers] WINNT32.EXE O9 - Extra button: Yahoo! Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) hoffe das mir jemand weiterhelfen kann,muss das problem beheben,ist noch nicht mein computer,udn wenn ich das nicht loswerd ,wird er es wohl auch nie.... danke schonmal! Mr.Mojo

25.05.2004, 16:09 Sabina Ehrenmitglied Beiträge: 29434	#22 Es waere nett, wenn du diese Datei C:\WINDOWS\System32\WINNT32.EXE an virus@protecus.de schicken koenntest. Dann koennen wir dir vieleicht verraten, was das fuer eine Datei ist.(@Raman) ------------------------------------------------------------------------------- Gehe in den abgesicherten Modus (F8 beim Hochfahren druecken) Deaktiviere die Wiederherstellung (nach der Reinigung wieder aktivieren) http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 suche dort die WINNT32.EXE und loesche. Gehe in die Registry Start<Ausfuehren<regedit suche dort mit der Registry-Suchfunktion links oben die WINNT32.EXE loesche sie (rechter Mausklick...loeschen) neustarten #AKtualisiere den IE http://www.microsoft.com/windows/ie_intl/de/ie6sp1.asp und mache die WindowsUpdates unter Start<Programme <WindowsUpdate #Lade den Antivirus http://www.free-av.com/ Mache nach dem Laden einen Vollscann #Lade AdAware (free) http://www.lavasoft.de/ update und scanne #Lade Spybot http://beam.to/spybotsd #Lade e-scann (mwav.exe und loesche alles, was bei <alle Dateien scannen< gefunden wird manuell. http://housecall.trendmicro.com/ #Lade die Firewall, falls du noch keinen hast http://smb.sygate.com/products/spf_standard.htm ---------------------------------------------------------------------- Ueberpruefe C:\WINDOWS\System32\wpabaln.exe mit Kaspersky http://www.kaspersky.com/remoteviruschk.html Dann poste mal, was es ist. #Lade den Webwasher http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html loesche unter InternetOptionen die TemporaryInternetFiles und stelle einen Startseite ein. Dann poste das komplette !!!!!!!Log mit dieser Startseite noch mal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.05.2004 um 16:34 Uhr von Sabina editiert.

25.05.2004, 16:14 raman Moderator Beiträge: 7805	#23 Fixe bitte diese beiden Eintraege; O4 - HKLM\..\Run: [Winsock2 drivers] WINNT32.EXE O4 - HKCU\..\RunOnce: [Winsock2 drivers] WINNT32.EXE starte neu und nutze mal www.windowsupdate.com um dein Windows zu aktualisieren. Es waere nett, wenn du diese Datei C:\WINDOWS\System32\WINNT32.EXE an virus@protecus.de schicken koenntest. Dann koennen wir dir vieleicht verraten, was das fuer eine Datei ist. Die Tips von Sabina sind aber auch nicht schlecht..... Bis auf den Tipp mit der rasautou.exe , die solltest du nicht loeschen.... __________ MfG Ralf SEO-Spam Hunter

25.05.2004, 16:23 Sabina Ehrenmitglied Beiträge: 29434	#24 Zitat raman postete Die Tips von Sabina sind aber auch nicht schlecht..... Bis auf den Tipp mit der rasautou.exe , die solltest du nicht loeschen.... Warum nicht ? Ist das nicht ein Remotdialer oder die regulaere Interneteinwahl ? Habe das darueber gefunden: http://www.msexchangefaq.de/internet/pop3smtp4.htm T-Online verbindet die POP3 Autorisierung an den Dial-In Zugriff. Anzuwenden sind dabei die Programme RASDIAL.EXE oder RASAUTOU.EXE. Nun, ich denke, dass du den Knaben vor mir und einem Internetblock gerettest hast.......Danke... Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.05.2004 um 16:33 Uhr von Sabina editiert.

25.05.2004, 16:36 raman Moderator Beiträge: 7805	#25 Die Datei ist Teil von Microsoft Windows, nutz mal google, da findest du einiges. Soweit ich das in Erinnerung habe( lange her)sollte das ueber Systemeigenschaften/Remote zu deaktivieren sein. __________ MfG Ralf SEO-Spam Hunter

05.07.2004, 21:09 NoPeil Member Beiträge: 149	#26 Mal mein Log..... Na Super.. Allein die letzte Zeile hat mich stutzig gemacht.. Logfile of HijackThis v1.98.0 Scan saved at 21:06:31, on 05.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE C:\Programme\Logitech\ImageStudio\LogiTray.exe C:\WINDOWS\Mixer.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\NCLAUNCH.EXe C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe C:\Programme\Logitech\ImageStudio\LowLight.exe C:\Dokumente und Einstellungen\C. Petrovic\Eigene Dateien\Meine empfangenen Dateien\Hijacker\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe (file missing) O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web8.cab

05.07.2004, 23:57 Sabina Ehrenmitglied Beiträge: 29434	#27 NoPeil Soweit ich das ueberblicken kann, ist dein Log sauber. Wo gibt es denn Probleme ? Lade zur Sicherheit die mwav.exe ...30 Tage free und scanne <alle Dateien< http://www.mwti.net/antivirus/free_utilities.asp Lade Spysweeper und scanne http://www.spysweeper.com/ falls du einen virenscanner benoetigst,lade Antivirus http://www.free-av.de/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 05.07.2004 um 23:57 Uhr von Sabina editiert.

06.07.2004, 13:04 NoPeil Member Beiträge: 149	#28 Ich hab' ICQ xtra, da sind Spiele drauf. Und letzte Zeile vom Log: O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web8.cab Das ist wenn man da Mal gespielt hat, soweit ich weiß habe ich das aber nie.. Deswegen, aber sonst Danke MfG NoPeil

06.08.2004, 01:06 Audaron Member Beiträge: 12	#29 Hallo ! Ich habe auch das zu Anfang beschriebene Problem. rasautou.exe läuft immer nach der Trennung der I-net Verbindung an. Hier mein aktuelles logfile : C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\ati2vid.exe E:\Programme E\ICQPlus\vplus.exe E:\Programme E\Spamihilator\spamihilator.exe C:\WINDOWS\System32\devldr32.exe C:\WINDOWS\system32\ctfmon.exe G:\T O O L S\HijackThis1981.exe C:\Programme\Internet Explorer\IEXPLORE.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [ATI VIDEO REGKEY] ati2vid.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe O4 - HKLM\..\RunOnce: [Index Washer] E:\Programme E\Webroot\Washer\WashIdx.exe "SLAYER" O4 - HKCU\..\Run: [ATI VIDEO REGKEY] ati2vid.exe O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [ICQ Plus] "E:\Programme E\ICQPlus\vplus.exe" O4 - HKCU\..\Run: [Spamihilator] "E:\Programme E\Spamihilator\spamihilator.exe" O4 - HKCU\..\RunOnce: [Index Washer] E:\Programme E\Webroot\Washer\WashIdx.exe "SLAYER" O4 - Global Startup: Microsoft Office.lnk.disabled O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Programme E\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Programme E\ICQ\ICQ.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{03E57691-5B3F-48AF-AE83-1B51A89A960B}: NameServer = 217.237.150.97 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{03E57691-5B3F-48AF-AE83-1B51A89A960B}: NameServer = 217.237.150.97 194.25.2.129 Es wäre sehr nett, wenn sich einer des files mal annehmen könnte und mir ein paar Tipps gibt. Vielen Dank im voraus ! mfg Audi P.S.: Vermutlich hängt das Problem mit diesen ati2vid Einträgen zusammen ... die habe ich auch gefixt ... aber leider erweist sich das Problem als sehr hartnäckig ! Dieser Beitrag wurde am 06.08.2004 um 01:47 Uhr von Audaron editiert.

07.08.2004, 12:14 Sabina Ehrenmitglied Beiträge: 29434	#30 Audaron die rasautou.exe ist ein remote access dialer system, das von windows benutzt wird über die internetverbindung beispielweise desktop-einstellungen eines anderen rechners abzurufen..................... Lade mwav.exe und scanne alle Dateien< http://www.mwti.net/antivirus/free_utilities.asp Das Log ist soweit sauber...aber man kann ja nie wissen.....ob nicht doch irgend ein Trojaner "nach Hause" telefonieren will Poste dann, ob escan was gefunden hat. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 07.08.2004 um 12:23 Uhr von Sabina editiert.

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2 3 4 5