Frage zu: Msbb.exe und Svchost.exe und Lsass.exe

#0
23.05.2004, 21:43
...neu hier

Beiträge: 6
#1 Meine Fragen MSBB.exe und SVCHOST.exe und LSASS.exe

1. Was sind das für "programme"?
2. Sind es Viren o.ä?
3. Wie kann ich sie (wenn es welche sind) entfernen?

DANKE !!!
Seitenanfang Seitenende
23.05.2004, 21:50
Member
Avatar Dafra

Beiträge: 1122
#2 Poste mal ein Hijackthis Log, unten steht wies geht.

Zu deiner Frag, Msbb.exe is ein Virus, die anderen nicht.
MFG
DAFRA


P.s.

600. Post ;);););););)
Dieser Beitrag wurde am 23.05.2004 um 21:50 Uhr von Dafra editiert.
Seitenanfang Seitenende
24.05.2004, 11:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 http://www.liutilities.com/products/wintaskspro/processlibrary/msbb/
O4 - HKLM\..\Run: [msbb] i:\progra~1\msbb.exe
Deaktiviere diese exe im TaskManager.
Dann suchst du die exe mit der Suchfunktion von Windows und loescht sie.
Dann gehst du in die Registry
Start<Ausfuehren<regedit
dort suchst du diese exe ebenfalls und loescht

Deaktiviere deinen jetzigen Virenscanner und lade Antivir. und scanne (vollscann)
http://www.free-av.com/

Dann laedst du den HijackThis, scanne , save und kopiere das SavLog mit der Maus und ab ins Forum.
http://board.protecus.de/t9391.htm
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.05.2004, 15:41
...neu hier

Themenstarter

Beiträge: 6
#4 jetzt noch folgende Frage:
Als ich die MSBB.exe im taskmanager geschlossen hab, kam folgendes Fenster:



Das soll n Bild sein... hoffe das funktioniert, wenn nich hier:
home.arcor.de/stefan-wenz/ownatsch%20pg%20bilder/n-case.jpg

Hat das was mit dem Virus zu Tun???[/img]
Seitenanfang Seitenende
24.05.2004, 15:43
Member
Avatar Dafra

Beiträge: 1122
#5 Poste mal ein Hijackthis Log !!!!!!!
MFG
DAFRA
Seitenanfang Seitenende
24.05.2004, 15:58
...neu hier

Themenstarter

Beiträge: 6
#6 *grml*
Ich kann Hijackthis unter dem chip.de link nich downloaden... Hat jemand noch nen anderen Link oder kann den Installer hochladen? pls
Seitenanfang Seitenende
24.05.2004, 16:01
Member

Beiträge: 82
#7 Du musst den Low-Speed Download nehmen, dann brauchste auch nix zu bezahlen, danach einfach den Informationen auf den folgenden Sites folgen!
__________
Seit anbeginn von windows fing die Menschheit an zu verblöden:
Windows 95 was unable to detect your Keyboard, press F1 or F2 to abort.
Seitenanfang Seitenende
24.05.2004, 16:10
...neu hier

Themenstarter

Beiträge: 6
#8 *google ist dein freund* hab einen hier ist der log:

Logfile of HijackThis v1.97.7
Scan saved at 16:13:32, on 24.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
D:\toolz\Norten Anti Virus 2003\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\toolz\D-Tools\daemon.exe
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
D:\toolz\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\WINDOWS\System32\RUNDLL32.EXE
D:\toolz\MouseWare\system\em_exec.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
D:\toolz\steam\steam.exe
D:\toolz\ICQPlus\vplus.exe
D:\toolz\ICQ\ICQ.exe
D:\toolz\Winamp\winamp 278\winamp.exe
C:\WINDOWS\System32\svchost.exe
D:\toolz\AD-AWA~1\Ad-aware.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\s\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=133171
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=133171
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=133171
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\toolz\Norten Anti Virus 2003\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\toolz\Norten Anti Virus 2003\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AudioHQ] d:\tools\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\toolz\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\toolz\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [DOJT] C:\WINDOWS\DOJT.exe
O4 - HKLM\..\Run: [CTSysVol] D:\toolz\Creative SB Audigy LS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\toolz\ICQ\NDetect.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Steam] "d:\toolz\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ICQ Plus] "D:\toolz\ICQPlus\vplus.exe"
O4 - Global Startup: Microsoft Office.lnk = D:\toolz\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\toolz\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: Win32 Classes -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


---> THX schonma für die schnellen Antworten !
Dieser Beitrag wurde am 24.05.2004 um 16:17 Uhr von AphOsIs editiert.
Seitenanfang Seitenende
24.05.2004, 16:24
Moderator

Beiträge: 7805
#9 Du bist ein Fall fuer diesen Artikel! ;)

http://www.rokop-security.de/main/article.php?sid=703

bitte alles darin beachten.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.05.2004, 12:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Fixe mit dem HijackThis.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=133171
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=133171

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=133171

----------------------------------------------------------------------
R1 nur fixen, wenn es nicht dem normalen Proxy entspricht:


R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
nicht fixen, wenn das dein Proxyeintrag ist.....Falls nicht
musst du ihn nach dem Fixen und der Reinigung neu einstellen
---------------------------------------------------------------------
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\toolz\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "D:\toolz\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [DOJT] C:\WINDOWS\DOJT.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\toolz\ICQ\NDetect.exe
O4 - HKCU\..\Run: [ICQ Plus] "D:\toolz\ICQPlus\vplus.exe"


neustarten

#Onlinescann
http://housecall.trendmicro.com/

#Alle Tools laden von dieser Site
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html
AdAware (free), updaten, scannen
Spybot
CWSHredder
Sphj.fix

#lade den e-scann (mwav.exe ), scanne alle Dateien und loesche manuell, was das Tools anzeigt
http://www.mwti.net/antivirus/free_utilities.asp

#Lade den WebWasher
http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html
-------------------------------------------------------------------------------------------------------
http://sarc.com/avcenter/venc/data/adware.ncase.html
n-case manuell loeschen

Gehe in den abgesicherten Modus:
F8 beim Hochfahren druecken

Loesche:
Msbb.exe
ncmyb.dll


1. Click Start, and then click Run. (The Run dialog box appears.)
2. Type regedit

Then click OK. (The Registry Editor opens.)

3. Navigate to the key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4. In the right pane, delete the value:

"msbb"="[path]\msbb.exe"

5. Delete the following registry keys:
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nCASE
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\msbb
* HKEY_CURRENT_USER\Software\180solutions

6. Exit the Registry Editor.
7. Restart the computer.

Scanne mit dem Symantec im abgesicherten Modus
------------------------------------------------------------------------------------------
#C:\WINDOWS\DOJT.exe
mit Kaspersky untersuchen
http://www.kaspersky.com/remoteviruschk.html

------------------------------------------------------------------------------------------
Ueberpruefe den Proxy

Poste das Log noch mal, wenn gereinigt.
MfG
Sabina
;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 25.05.2004 um 13:08 Uhr von Sabina editiert.
Seitenanfang Seitenende
25.05.2004, 15:28
...neu hier

Themenstarter

Beiträge: 6
#11 ok noch 2 fragen...
1.muss ich nochwas machen (siehe log)
2.was? ;)

das is der aktuelle log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
D:\toolz\Norten Anti Virus 2003\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\toolz\D-Tools\daemon.exe
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
D:\toolz\QuickTime\qttask.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
D:\toolz\MouseWare\system\em_exec.exe
D:\toolz\steam\steam.exe
D:\toolz\ICQPlus\vplus.exe
D:\toolz\ICQ\ICQ.exe
D:\toolz\Spybot - Search & Destroy\TeaTimer.exe
D:\toolz\mIRC\mirc.exe
D:\toolz\Winamp\winamp 278\winamp.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
F:\Anderes\Savty\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\toolz\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\toolz\Norten Anti Virus 2003\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\toolz\Norten Anti Virus 2003\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AudioHQ] d:\tools\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\toolz\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\toolz\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CTSysVol] D:\toolz\Creative SB Audigy LS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\toolz\ICQ\NDetect.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Steam] "d:\toolz\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ICQ Plus] "D:\toolz\ICQPlus\vplus.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\toolz\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = D:\toolz\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\toolz\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38131.3244328704
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Seitenanfang Seitenende
25.05.2004, 15:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Nun, ich wuerde den RegCleaner laden und mal den Comp. entmuellen.
http://www.comzu-heide.de/Downloadbereich/system-utility/system-utility.htm

1. kannst das Tool in Deutsch einstellen
2. Unter <Tools<Registry saeubern<alles durchfuehren den Comp. reinigen
alles loeschen, was angezeigt wird, denn es verbleibt eine Sicherung
3. unter <Autostart< die 04-Eintraege entmuellen, denn sie spionieren nur unnoetig ins Netz. Sie tragen sich bei jedem Gebrauch wieder im Autostart ein...das kann man dann gut mit dem RegCleaner kontrollieren

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\toolz\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\toolz\ICQ\NDetect.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [Steam] "d:\toolz\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ICQ Plus] "D:\toolz\ICQPlus\vplus.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\toolz\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = D:\toolz\Office10\OSA.EXE

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.05.2004, 20:57
...neu hier

Themenstarter

Beiträge: 6
#13 kk THX für eure HELPS !!!!!

werd das Forum bei probs ma weiterempfelen ;)
Seitenanfang Seitenende
16.06.2004, 10:12
...neu hier

Beiträge: 9
#14 Hi alle zusammen,

ich habe mir wohl was eingefangen vieleicht kann sich mal einer meinen Hijackthis Log ansehen und mir einen Tip geben, wie ich vorgehen muss.

MFG Udokawa

Logfile of HijackThis v1.97.7
Scan saved at 10:09:07, on 16.06.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
Z:\clntrust.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\NALDESK.EXE
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\dpmw32.exe
C:\WINNT\System32\NWTRAY.EXE
C:\WINNT\System32\hkcmd.exe
C:\Programme\epoagent\naimag32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\dokume~1\a32b44\lokale~1\temp\msbb.exe
C:\WINNT\System32\internat.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINNT\system32\taskmgr.exe
C:\WINNT\msagent\AgentSvr.exe
C:\Dokumente und Einstellungen\A32B44\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.blazefind.com/search.php?search=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.blazefind.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intradu/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intradu.stadt-duisburg.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.blazefind.com
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINNT\bi.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [NDPS] C:\WINNT\System32\dpmw32.exe
O4 - HKLM\..\Run: [ZENRC Tray Icon] zentray.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [Client Access Service] "C:\Programme\IBM\Client Access\CwbSvStr.Exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programme\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programme\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [NaimAgent_UI] C:\Programme\epoagent\naimag32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [msbb] c:\dokume~1\a32b44\lokale~1\temp\msbb.exe
O4 - HKLM\..\Run: [vcj] C:\WINNT\VCJ.exe
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - Startup: Verknüpfung mit Microsoft Outlook.lnk = ?
O4 - Global Startup: BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: concept/design's onlineTV (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: @btrez.dll,-4015 (HKLM)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 (HKLM)
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O14 - IERESET.INF: START_PAGE_URL=http://intradu.stadt-duisburg.de
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1111.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2109017c65cbd82d2206/netzip/RdxIE601_de.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://www2.flingstone.com/cab/2000XP/bridge-c1.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37950.025474537
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A71B020B-08F0-4F81-A0FE-A7189C777FB5}: Domain = stadt_duisburg.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{A71B020B-08F0-4F81-A0FE-A7189C777FB5}: NameServer = 180.18.6.1
Seitenanfang Seitenende
16.06.2004, 10:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 @udokawa

#Alle Tools laden von dieser Site
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html
AdAware (free), updaten, scannen
Spybot
CWSHredder
Sphj.fix



scanne mit dem HijackThis, dann hake an, was ich poste und \fix\

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.blazefind.com/search.php?search=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.blazefind.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.blazefind.com

O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINNT\bi.dll
O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file)

O4 - HKLM\..\Run: [msbb] c:\dokume~1\a32b44\lokale~1\temp\msbb.exe
O4 - HKLM\..\Run: [vcj] C:\WINNT\VCJ.exe

O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2109017c65cbd82d2206/netzip/RdxIE601_de.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://www2.flingstone.com/cab/2000XP/bridge-c1.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup.cab

neustarten

scanne ohne Internetverbindung mit
AdAware
Spybot
CWShredder
Sphjfix.exe


#lade den e-scann (mwav.exe ), scanne alle Dateien und loesche manuell, was das Tools anzeigt
http://www.mwti.net/antivirus/free_utilities.asp

#Dann loesche unter InternetOptionen die TemporaryInternetFiles oder
Du kannst alles in diesem Verzeichniss loeschen(vorher Internet Explorer schliessen):
C:\Dokumente und Einstellungen/User\Lokale Einstellungen\Temporary Internet Files\Content.IE5

#dann suche die C:\WINNT\bi.dll und loesche sie...falls sie noch da ist.
#Dann loesche mit Hilfe des RegistryCleaners
BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939}
falls es noch da ist
http://www.registry-cleaner.net/bho-manager.htm

...........................................................................................................
Entfernen von Adware.Ncase

#Loesche
dnxf.exe, ddmb.exe, and msbb.exe. First kill them under Active Tasks then remove under Startup Programs. Finally, open a browser window, click 'Tools' then 'Internet Options'. Click 'Programs' and click 'reset web settings'. If you find you can't connect to the internet, run the Winsock repair tool you downloaded.

Gehe in die Registry
Start\Ausfuehren \regedit

1. Click Start, and then click Run. (The Run dialog box appears.)
2. Type regedit
Then click OK. (The Registry Editor opens.)
3. Navigate to the key:
HKEY_LOCAL_MAC
HINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4. In the right pane, delete the value:
"msbb"="[path]\msbb.exe"
5. Delete the following registry keys:
*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nCASE
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\msbb
* HKEY_CURRENT_USER\Software\180solutions

6. Exit the Registry Editor.
7. Restart the computer.


#lade den ClearProg und loesche
Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
http://www.clearprog.de/


Dann poste das Log noch einmal.
MfG
Sabina

http://sarc.com/avcenter/venc/data/adware.ncase.html
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.06.2004 um 10:34 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: