Frage zu: Msbb.exe und Svchost.exe und Lsass.exe |
||
---|---|---|
#0
| ||
23.05.2004, 21:43
...neu hier
Beiträge: 6 |
||
|
||
23.05.2004, 21:50
Member
Beiträge: 1122 |
#2
Poste mal ein Hijackthis Log, unten steht wies geht.
Zu deiner Frag, Msbb.exe is ein Virus, die anderen nicht. MFG DAFRA P.s. 600. Post Dieser Beitrag wurde am 23.05.2004 um 21:50 Uhr von Dafra editiert.
|
|
|
||
24.05.2004, 11:27
Ehrenmitglied
Beiträge: 29434 |
#3
http://www.liutilities.com/products/wintaskspro/processlibrary/msbb/
O4 - HKLM\..\Run: [msbb] i:\progra~1\msbb.exe Deaktiviere diese exe im TaskManager. Dann suchst du die exe mit der Suchfunktion von Windows und loescht sie. Dann gehst du in die Registry Start<Ausfuehren<regedit dort suchst du diese exe ebenfalls und loescht Deaktiviere deinen jetzigen Virenscanner und lade Antivir. und scanne (vollscann) http://www.free-av.com/ Dann laedst du den HijackThis, scanne , save und kopiere das SavLog mit der Maus und ab ins Forum. http://board.protecus.de/t9391.htm MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.05.2004, 15:41
...neu hier
Themenstarter Beiträge: 6 |
#4
jetzt noch folgende Frage:
Als ich die MSBB.exe im taskmanager geschlossen hab, kam folgendes Fenster: Das soll n Bild sein... hoffe das funktioniert, wenn nich hier: home.arcor.de/stefan-wenz/ownatsch%20pg%20bilder/n-case.jpg Hat das was mit dem Virus zu Tun???[/img] |
|
|
||
24.05.2004, 15:43
Member
Beiträge: 1122 |
||
|
||
24.05.2004, 15:58
...neu hier
Themenstarter Beiträge: 6 |
#6
*grml*
Ich kann Hijackthis unter dem chip.de link nich downloaden... Hat jemand noch nen anderen Link oder kann den Installer hochladen? pls |
|
|
||
24.05.2004, 16:01
Member
Beiträge: 82 |
#7
Du musst den Low-Speed Download nehmen, dann brauchste auch nix zu bezahlen, danach einfach den Informationen auf den folgenden Sites folgen!
__________ Seit anbeginn von windows fing die Menschheit an zu verblöden: Windows 95 was unable to detect your Keyboard, press F1 or F2 to abort. |
|
|
||
24.05.2004, 16:10
...neu hier
Themenstarter Beiträge: 6 |
#8
*google ist dein freund* hab einen hier ist der log:
Logfile of HijackThis v1.97.7 Scan saved at 16:13:32, on 24.05.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\WINDOWS\System32\CTSvcCDA.EXE C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE D:\toolz\Norten Anti Virus 2003\navapsvc.exe C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ASUS\Probe\AsusProb.exe C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe D:\toolz\D-Tools\daemon.exe C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe D:\toolz\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe C:\Programme\Netropa\Onscreen Display\OSD.exe C:\WINDOWS\System32\RUNDLL32.EXE D:\toolz\MouseWare\system\em_exec.exe C:\Programme\TGTSoft\StyleXP\StyleXP.exe D:\toolz\steam\steam.exe D:\toolz\ICQPlus\vplus.exe D:\toolz\ICQ\ICQ.exe D:\toolz\Winamp\winamp 278\winamp.exe C:\WINDOWS\System32\svchost.exe D:\toolz\AD-AWA~1\Ad-aware.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\s\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=133171 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=133171 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=133171 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\toolz\Norten Anti Virus 2003\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\toolz\Norten Anti Virus 2003\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AudioHQ] d:\tools\Creative\SBLive\AudioHQ\AHQTB.EXE O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\toolz\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\toolz\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [DOJT] C:\WINDOWS\DOJT.exe O4 - HKLM\..\Run: [CTSysVol] D:\toolz\Creative SB Audigy LS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Mirabilis ICQ] D:\toolz\ICQ\NDetect.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [Steam] "d:\toolz\steam\steam.exe" -silent O4 - HKCU\..\Run: [ICQ Plus] "D:\toolz\ICQPlus\vplus.exe" O4 - Global Startup: Microsoft Office.lnk = D:\toolz\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\toolz\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: AOL Instant Messenger (TM) (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: Win32 Classes - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab ---> THX schonma für die schnellen Antworten ! Dieser Beitrag wurde am 24.05.2004 um 16:17 Uhr von AphOsIs editiert.
|
|
|
||
24.05.2004, 16:24
Moderator
Beiträge: 7805 |
#9
Du bist ein Fall fuer diesen Artikel!
http://www.rokop-security.de/main/article.php?sid=703 bitte alles darin beachten. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
25.05.2004, 12:48
Ehrenmitglied
Beiträge: 29434 |
#10
Fixe mit dem HijackThis.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=133171 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=133171 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=133171 ---------------------------------------------------------------------- R1 nur fixen, wenn es nicht dem normalen Proxy entspricht: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80 nicht fixen, wenn das dein Proxyeintrag ist.....Falls nicht musst du ihn nach dem Fixen und der Reinigung neu einstellen --------------------------------------------------------------------- R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\toolz\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [QuickTime Task] "D:\toolz\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [DOJT] C:\WINDOWS\DOJT.exe O4 - HKLM\..\Run: [Mirabilis ICQ] D:\toolz\ICQ\NDetect.exe O4 - HKCU\..\Run: [ICQ Plus] "D:\toolz\ICQPlus\vplus.exe" neustarten #Onlinescann http://housecall.trendmicro.com/ #Alle Tools laden von dieser Site http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html AdAware (free), updaten, scannen Spybot CWSHredder Sphj.fix #lade den e-scann (mwav.exe ), scanne alle Dateien und loesche manuell, was das Tools anzeigt http://www.mwti.net/antivirus/free_utilities.asp #Lade den WebWasher http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html ------------------------------------------------------------------------------------------------------- http://sarc.com/avcenter/venc/data/adware.ncase.html n-case manuell loeschen Gehe in den abgesicherten Modus: F8 beim Hochfahren druecken Loesche: Msbb.exe ncmyb.dll 1. Click Start, and then click Run. (The Run dialog box appears.) 2. Type regedit Then click OK. (The Registry Editor opens.) 3. Navigate to the key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 4. In the right pane, delete the value: "msbb"="[path]\msbb.exe" 5. Delete the following registry keys: * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nCASE * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\msbb * HKEY_CURRENT_USER\Software\180solutions 6. Exit the Registry Editor. 7. Restart the computer. Scanne mit dem Symantec im abgesicherten Modus ------------------------------------------------------------------------------------------ #C:\WINDOWS\DOJT.exe mit Kaspersky untersuchen http://www.kaspersky.com/remoteviruschk.html ------------------------------------------------------------------------------------------ Ueberpruefe den Proxy Poste das Log noch mal, wenn gereinigt. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.05.2004 um 13:08 Uhr von Sabina editiert.
|
|
|
||
25.05.2004, 15:28
...neu hier
Themenstarter Beiträge: 6 |
#11
ok noch 2 fragen...
1.muss ich nochwas machen (siehe log) 2.was? das is der aktuelle log: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\WINDOWS\System32\CTSvcCDA.EXE C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE D:\toolz\Norten Anti Virus 2003\navapsvc.exe C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ASUS\Probe\AsusProb.exe C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe D:\toolz\D-Tools\daemon.exe C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe C:\Programme\Netropa\Onscreen Display\OSD.exe D:\toolz\QuickTime\qttask.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\TGTSoft\StyleXP\StyleXP.exe D:\toolz\MouseWare\system\em_exec.exe D:\toolz\steam\steam.exe D:\toolz\ICQPlus\vplus.exe D:\toolz\ICQ\ICQ.exe D:\toolz\Spybot - Search & Destroy\TeaTimer.exe D:\toolz\mIRC\mirc.exe D:\toolz\Winamp\winamp 278\winamp.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Internet Explorer\iexplore.exe F:\Anderes\Savty\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\toolz\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\toolz\Norten Anti Virus 2003\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\toolz\Norten Anti Virus 2003\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AudioHQ] d:\tools\Creative\SBLive\AudioHQ\AHQTB.EXE O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\toolz\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\toolz\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CTSysVol] D:\toolz\Creative SB Audigy LS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Mirabilis ICQ] D:\toolz\ICQ\NDetect.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [Steam] "d:\toolz\steam\steam.exe" -silent O4 - HKCU\..\Run: [ICQ Plus] "D:\toolz\ICQPlus\vplus.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\toolz\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Microsoft Office.lnk = D:\toolz\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\toolz\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: AOL Instant Messenger (TM) (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38131.3244328704 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
|
|
||
25.05.2004, 15:37
Ehrenmitglied
Beiträge: 29434 |
#12
Nun, ich wuerde den RegCleaner laden und mal den Comp. entmuellen.
http://www.comzu-heide.de/Downloadbereich/system-utility/system-utility.htm 1. kannst das Tool in Deutsch einstellen 2. Unter <Tools<Registry saeubern<alles durchfuehren den Comp. reinigen alles loeschen, was angezeigt wird, denn es verbleibt eine Sicherung 3. unter <Autostart< die 04-Eintraege entmuellen, denn sie spionieren nur unnoetig ins Netz. Sie tragen sich bei jedem Gebrauch wieder im Autostart ein...das kann man dann gut mit dem RegCleaner kontrollieren O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\toolz\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Mirabilis ICQ] D:\toolz\ICQ\NDetect.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKCU\..\Run: [Steam] "d:\toolz\steam\steam.exe" -silent O4 - HKCU\..\Run: [ICQ Plus] "D:\toolz\ICQPlus\vplus.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\toolz\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Microsoft Office.lnk = D:\toolz\Office10\OSA.EXE MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.05.2004, 20:57
...neu hier
Themenstarter Beiträge: 6 |
||
|
||
16.06.2004, 10:12
...neu hier
Beiträge: 9 |
#14
Hi alle zusammen,
ich habe mir wohl was eingefangen vieleicht kann sich mal einer meinen Hijackthis Log ansehen und mir einen Tip geben, wie ich vorgehen muss. MFG Udokawa Logfile of HijackThis v1.97.7 Scan saved at 10:09:07, on 16.06.2004 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: Z:\clntrust.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\NALDESK.EXE C:\WINNT\System32\igfxtray.exe C:\WINNT\System32\dpmw32.exe C:\WINNT\System32\NWTRAY.EXE C:\WINNT\System32\hkcmd.exe C:\Programme\epoagent\naimag32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\dokume~1\a32b44\lokale~1\temp\msbb.exe C:\WINNT\System32\internat.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\WINNT\system32\taskmgr.exe C:\WINNT\msagent\AgentSvr.exe C:\Dokumente und Einstellungen\A32B44\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.blazefind.com/search.php?search=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.blazefind.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intradu/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intradu.stadt-duisburg.de R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.blazefind.com O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINNT\bi.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file) O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe O4 - HKLM\..\Run: [NDPS] C:\WINNT\System32\dpmw32.exe O4 - HKLM\..\Run: [ZENRC Tray Icon] zentray.exe O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE O4 - HKLM\..\Run: [Client Access Service] "C:\Programme\IBM\Client Access\CwbSvStr.Exe" O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programme\IBM\Client Access\cwbinhlp.exe" O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programme\IBM\Client Access\cwbckver.exe" LOGIN O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe O4 - HKLM\..\Run: [NaimAgent_UI] C:\Programme\epoagent\naimag32.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [msbb] c:\dokume~1\a32b44\lokale~1\temp\msbb.exe O4 - HKLM\..\Run: [vcj] C:\WINNT\VCJ.exe O4 - HKCU\..\Run: [Internat.exe] internat.exe O4 - Startup: Verknüpfung mit Microsoft Outlook.lnk = ? O4 - Global Startup: BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O9 - Extra button: concept/design's onlineTV (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: @btrez.dll,-4015 (HKLM) O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 (HKLM) O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll O14 - IERESET.INF: START_PAGE_URL=http://intradu.stadt-duisburg.de O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1111.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2109017c65cbd82d2206/netzip/RdxIE601_de.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://www2.flingstone.com/cab/2000XP/bridge-c1.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37950.025474537 O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A71B020B-08F0-4F81-A0FE-A7189C777FB5}: Domain = stadt_duisburg.de O17 - HKLM\System\CCS\Services\Tcpip\..\{A71B020B-08F0-4F81-A0FE-A7189C777FB5}: NameServer = 180.18.6.1 |
|
|
||
16.06.2004, 10:23
Ehrenmitglied
Beiträge: 29434 |
#15
@udokawa
#Alle Tools laden von dieser Site http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html AdAware (free), updaten, scannen Spybot CWSHredder Sphj.fix scanne mit dem HijackThis, dann hake an, was ich poste und \fix\ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.blazefind.com/search.php?search=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.blazefind.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.blazefind.com O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINNT\bi.dll O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file) O4 - HKLM\..\Run: [msbb] c:\dokume~1\a32b44\lokale~1\temp\msbb.exe O4 - HKLM\..\Run: [vcj] C:\WINNT\VCJ.exe O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2109017c65cbd82d2206/netzip/RdxIE601_de.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://www2.flingstone.com/cab/2000XP/bridge-c1.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup.cab neustarten scanne ohne Internetverbindung mit AdAware Spybot CWShredder Sphjfix.exe #lade den e-scann (mwav.exe ), scanne alle Dateien und loesche manuell, was das Tools anzeigt http://www.mwti.net/antivirus/free_utilities.asp #Dann loesche unter InternetOptionen die TemporaryInternetFiles oder Du kannst alles in diesem Verzeichniss loeschen(vorher Internet Explorer schliessen): C:\Dokumente und Einstellungen/User\Lokale Einstellungen\Temporary Internet Files\Content.IE5 #dann suche die C:\WINNT\bi.dll und loesche sie...falls sie noch da ist. #Dann loesche mit Hilfe des RegistryCleaners BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} falls es noch da ist http://www.registry-cleaner.net/bho-manager.htm ........................................................................................................... Entfernen von Adware.Ncase #Loesche dnxf.exe, ddmb.exe, and msbb.exe. First kill them under Active Tasks then remove under Startup Programs. Finally, open a browser window, click 'Tools' then 'Internet Options'. Click 'Programs' and click 'reset web settings'. If you find you can't connect to the internet, run the Winsock repair tool you downloaded. Gehe in die Registry Start\Ausfuehren \regedit 1. Click Start, and then click Run. (The Run dialog box appears.) 2. Type regedit Then click OK. (The Registry Editor opens.) 3. Navigate to the key: HKEY_LOCAL_MAC HINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 4. In the right pane, delete the value: "msbb"="[path]\msbb.exe" 5. Delete the following registry keys: *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nCASE * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\msbb * HKEY_CURRENT_USER\Software\180solutions 6. Exit the Registry Editor. 7. Restart the computer. #lade den ClearProg und loesche Cookies (mit Ausschlußmöglichkeit beim IE) - Verlauf - Temporäre Internetfiles (Cache) - die eingetragenen URLs http://www.clearprog.de/ Dann poste das Log noch einmal. MfG Sabina http://sarc.com/avcenter/venc/data/adware.ncase.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.06.2004 um 10:34 Uhr von Sabina editiert.
|
|
|
||
1. Was sind das für "programme"?
2. Sind es Viren o.ä?
3. Wie kann ich sie (wenn es welche sind) entfernen?
DANKE !!!