Home » Spyware & Browser Hijacker Support Forum » PC will verbindungen nach aussen aufnehmen! » Themenansicht

PC will verbindungen nach aussen aufnehmen!
#0
27.05.2004, 12:59
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 Wenn alles sauber ist, bevor du das Log vom mwav.exe und das neue Log von HijackThis postest, lade den IE 6 SP1
http://www.microsoft.com/windows/ie_intl/de/ie6sp1.asp

Ich werde erst morgen wieder alles sehen, weil ich jetzt weg muss, aber andere helfen bestimmt weiter.
Sabina
;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 27.05.2004 um 13:00 Uhr von Sabina editiert.
Seitenanfang Seitenende
27.05.2004, 16:28
JMC
Member

Themenstarter

Beiträge: 11
#17 Also - ich glaube das war es und alles funktioniert! Ich kann wieder Einstellungen machen und kann wieder frei surfen! Keine Ahnung wie ihr das geschafft habt aber ich werde es mir merken und ihr habt einen neuen besten Freund ;-)

Das einzige was mir noch ein Wurm im Auge ist, sind die Daten von mwav.exe!!
Ich habe einen totalscann gemacht und er hat noch Viren oder ähnliches gefunden. Habe keine Ahnung, ob der die nun gelöscht hat oder nicht! Ich kann zwar uiemlich gut Englisch aber ich habe jetzt einfach zuviel Respekt, etwas zu machen ohne eure Einstimmung zu haben.
Vielleicht könnt ihr mir diesbezüglich noch Helfen???

Die Liste von "Virus Log information" ist einfach zu lang um die hier zu posten und deswegen werde ich einfach das "Resultat" hier posten.

----------------------------------------------------------

Thu May 27 16:29:04 2004 => ***** Scanning complete. *****
Thu May 27 16:29:04 2004 => Total Number of Files Scanned: 67809
Thu May 27 16:29:04 2004 => Total Number of Virus(es) Found: 261
Thu May 27 16:29:04 2004 => Total Number of Disinfected Files: 0
Thu May 27 16:29:04 2004 => Total Number of Files Renamed: 61
Thu May 27 16:29:04 2004 => Total Number of Deleted Files: 195
Thu May 27 16:29:04 2004 => Total Number of Errors: 138
Thu May 27 16:29:04 2004 => Time Elapsed: 01:03:10
Thu May 27 16:29:04 2004 => Virus Database Date: 2004/05/24
Thu May 27 16:29:04 2004 => Virus Database Count: 93203

Thu May 27 16:29:04 2004 => Scan Completed.

--------------------------------------------------------


Ausserdem poste ich jetzt noch die neusten Ergebnisse von "hijack"

-----------------------

Logfile of HijackThis v1.97.7
Scan saved at 16:35:19, on 27.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\AntiVir\AVGUARD.EXE
E:\Programme\AntiVir\AVWUPSRV.EXE
E:\Programme\Nero INCD\InCD\InCDsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Admin\Desktop\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] e:\programme\CloneCD\ElbyCheck.exe /L ElbyCDFL
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Trashcan (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38132.2065277778
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/Sasser/20/SassCln.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{141D95C9-3613-47C7-9AA3-5E67483DC8E5}: NameServer = 217.237.150.97 194.25.2.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{141D95C9-3613-47C7-9AA3-5E67483DC8E5}: NameServer = 217.237.150.97 194.25.2.129

-----------------

Ich hoffe, daß es nun alles ist und ich nur noch Kleinigkeiten ändern muß. Danke ich für eure tolle Hilfe (ernst gemeint).

JMC
Seitenanfang Seitenende
27.05.2004, 17:01
paff
Member

Beiträge: 1095
#18 @JMC
Na, das schaut ja gut aus jetzt ;)

Wenn du jetzt noch dein Windows updatest
www.windowsupdate.com

und regelmässig den Virenscanner updatest

und vielleicht den Browser wechselts
www.opera.com oder www.mozilla.org

Dann siehts auch in Zukunft gut aus ;)

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 27.05.2004 um 17:02 Uhr von paff editiert.
Seitenanfang Seitenende
28.05.2004, 08:14
JMC
Member

Themenstarter

Beiträge: 11
#19 @ paff

Das erfreut aber mein kleines Herz. Obwohl ich gestern noch ein paar Angriffe vom "Sasserwurm" hatte aber der AvGuard hat ihn direkt gefunden und in die Quarantäne geschickt. Oder sollte ich ihn besser immer löschen??

Was ist den an dem Browser "mozilla" so besonders?

Ich lade ihn zwar gerade runter, aber weiss nicht wirklich wieso!!

Werde mich aber heute Mittag damit beschäftigen (muss ja noch was für mein täglich Brot hier machen)

Wünsche euch allen aber einen schönen Tag und ein schönes W.ende (falls wir uns heute nicht mehr schreiben)!

JMC
PS.: Aber 261 Viren war schon der Hammer, oder?
Dieser Beitrag wurde am 28.05.2004 um 08:16 Uhr von JMC editiert.
Seitenanfang Seitenende
28.05.2004, 08:42
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 Hallo jmc


Ich sehe den Antivirus(Aveguard) nicht im Autostart.(04)
Da muss er aber eingetragen sein....kann man einstellen
http://www.free-av.com/


Lade bitte noch die Firewall (vielleicht hilft dir jemand, beim Englisch, um sie optimal einzustellen)...kannst auch "googeln, es gibt deutsche Seiten von der Firma <Sygate< mit Erklaerungen zum Firewall.
http://www.tucows.com/preview/213160.html

und XP-Antispy
http://www.pcwelt.de/downloads/system/system-utilities/20295/

und WebWasher
http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html

und den RegClaener
http://www.comzu-heide.de/Downloadbereich/system-utility/system-utility.htm

Dieses Tool kannst du in Deutsch einstellen
Dann unter <Tools<Registry saeubern<alles durchfuehren den Comp. saeubern.(kannst ruhig alles loeschen, was angezeigt wird, denn es verbleibt eine Sicherung.
#Unter <Autostart< kansst du die 04-Eintraege, also den Systemstart ueberpruefen.
Wenn dort mal in Zukunft wieder was unbekanntes eingetragen ist, anhaken, neustarten und einen Virenscann machen !!

Mache bitte alle WindowsUpdates, damit der Sasser keine Chance mehr hat.

dann poste das Log noch einmal, aber bitte mit Firewall und Antivirus unter 04 sichtbar.

Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 28.05.2004 um 08:45 Uhr von Sabina editiert.
Seitenanfang Seitenende
01.06.2004, 11:39
JMC
Member

Themenstarter

Beiträge: 11
#21 Hi Sabina (oder wer auch immer sich die Mühe macht mir zu helfen),

ich habe da so eine kleine Frage (vor der ich mich auch ein wenig schäme).
Also ich habe am W.ende von einem bekannten Outpost Firewall bekommen und habe die auch getestet. Da ich aber damit nicht so dolle klar mit gekommen bin habe ich die wieder deinstalliert um erst einmal mich damit zu befassen. Da ich aber auch totalen Stress hatte (habe noch gearbeitet, habe ich irgendwie vergessen die alte Firewall wieder zu aktivieren. Das waren höchstens 3 Stunden aber irgendwie hat es der Virus (oder irgendwas) geschafft sich in dieser Zeit wieder breit zu machen.

Jetzt wollte ich die gesamte prozedur wieder einmal durchführen und habe aber jetzt das Problem, das ich auch im abgesicherten Modus nix machen kann.

Ich kann also nicht "hijackthis", oder "mwav.exe" abspielen. Da ich ja alle Programme bereits habe (die ihr mir gesagt habt), habe ich auch alles gemacht, aber irgendwas mache ich falsch.

Wie gesagt - ich kann die Programme auch nicht im abgesicherten Modus ausführen.

Vielleicht fällt dir ja ganz schnell was ein. Es kann ja nicht viel sein, oder???

JMC
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12