Fenster beim Start von Windows XP

#1 hallo zusammen,

ich habe ein Problem, mit dem ich allein nicht weiterkomme.

Auf dem Rechner meiner Mutter (auf den ich leider nur mit VNC über Internet zugreifen kann) erscheint bei jedem Start ein kleines Fenster mit einem roten Kreuz, einem OK Button und dem "Schließen"-X.
Betriebssystem ist XP Home.

Kennt jemand diesen Effekt?
Was kann/muss man dagegen unternehmen?

Der Rechner ist mit NortonAntivirus2003 ausgestattet.
In letzter Zeit werden sehr viele Viren gefunden, die wohl größtenteils durch Emails eingeschleppt werden.
__________
Gruß maceis
Wer die Wahrheit sagt, brauch ein schnelles Pferd. (Buffalo Bill)

#2 Poste mal ein Hijackthis Log.
MFG
DAFRA

#3 Danke für den Tip. das werd´ich so bald wie möglich machen.

Ich hätte da noch ne andere Frage.
Zur Zeit sind bei fast jedem Abruf von Emails Viren beteiligt (Netsky und andere).
Das Problem entsteht dadurch, dass Norton Antivirus sofort anspricht, und das Herunterladen der betreffenden Mail (und der folgenden) unterbrochen wird.
Beim nächsten Abruf wiederholt sich das, und meine Mutter (63 J.) kann Ihre Emails nicht mehr abrufen.
Ich muss dann mit einem Popmailer die entsprechenden Mails vom Server löschen, dann gehts wieder.
Ist aber extrem nervig. Gibts da ne andere Lösung, als das Scannen von emails abzuschalten?

Für Eure Hilfe schon mal vielen Dank und Grüße
------------------------
Hallo nochmal,

hier als nun der Logfile mit der Bitte um Hilfe

Logfile of HijackThis v1.97.7
Scan saved at 16:33:25, on 25.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
D:\Support\hijackthis\hijackthis1977\HijackThis.exe

N1 - Netscape 4: user_pref("browser.startup.homepage", ""); (d:\martin\netscape_daten\prefs.js)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [rn4d] C:\WINDOWS\System32\f0r0r\kolder.exe C:\WINDOWS\System32\f0r0r\dirote.exe
O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKLM\..\Run: [40567A6F] C:\WINDOWS\System32\ktqeojilq.exe
O4 - HKLM\..\Run: [DSService] dmrss.exe
O4 - HKLM\..\Run: [drrss] drrss.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\RunServices: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKLM\..\RunServices: [8EE5CC8F] C:\WINDOWS\System32\ktqeojilq.exe
O4 - HKLM\..\RunServices: [DSService] dmrss.exe
O4 - HKLM\..\RunServices: [drrss] drrss.exe
O4 - HKCU\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37986.1734259259
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C77D173-1C59-4977-BB60-76C42AC9B38C}: NameServer = 217.237.150.141 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{7AC56DC4-AFD3-4EEE-84A7-DD3A0DC93BDB}: NameServer = 192.168.100.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C77D173-1C59-4977-BB60-76C42AC9B38C}: NameServer = 217.237.150.141 194.25.2.129
__________
Gruß maceis
Wer die Wahrheit sagt, brauch ein schnelles Pferd. (Buffalo Bill)

#4 Fix mal:
O4 - HKLM\..\Run: [rn4d] C:\WINDOWS\System32\f0r0r\kolder.exe C:\WINDOWS\System32\f0r0r\dirote.exe
O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKLM\..\Run: [40567A6F] C:\WINDOWS\System32\ktqeojilq.exe
O4 - HKLM\..\Run: [DSService] dmrss.exe
O4 - HKLM\..\Run: [drrss] drrss.exe
O4 - HKLM\..\RunServices: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKLM\..\RunServices: [8EE5CC8F] C:\WINDOWS\System32\ktqeojilq.exe
O4 - HKLM\..\RunServices: [DSService] dmrss.exe
O4 - HKLM\..\RunServices: [drrss] drrss.exe
O4 - HKCU\..\Run: [MS Sound Config 16bit] sndcfg16.exe
MFG
DAFRA

#5 Da ist so einiges. Bitte fix mal das:

O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper (wenn du es nutzt, lass es drin)
O4 - HKLM\..\Run: [rn4d] C:\WINDOWS\System32\f0r0r\kolder.exe C:\WINDOWS\System32\f0r0r\dirote.exe
O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKLM\..\Run: [40567A6F] C:\WINDOWS\System32\ktqeojilq.exe
O4 - HKLM\..\Run: [DSService] dmrss.exe
O4 - HKLM\..\Run: [drrss] drrss.exe
O4 - HKLM\..\RunServices: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKLM\..\RunServices: [8EE5CC8F] C:\WINDOWS\System32\ktqeojilq.exe
O4 - HKLM\..\RunServices: [DSService] dmrss.exe
O4 - HKLM\..\RunServices: [drrss] drrss.exe
O4 - HKCU\..\Run: [MS Sound Config 16bit] sndcfg16.ex

Schicke bitte folgende Dateien an virus@protecus.de:

C:\WINDOWS\System32\f0r0r\kolder.exe
C:\WINDOWS\System32\f0r0r\dirote.exe
C:\WINDOWS\System32\ktqeojilq.exe
Es scheint nur so, als wenn dein Norton schon ganz was "weggeholzt" haette!

Den Rechner neu aufzusetzen, waere auch nicht die schlechtestet Moeglichkeit.....
__________
MfG Ralf
SEO-Spam Hunter

#6 @raman
Ich war schneller
MFG
DAFRA

#7 hallo zusammen,

Danke für die Tips

Zitat

chicke bitte folgende Dateien an virus@protecus.de:

C:\WINDOWS\System32\f0r0r\kolder.exe
C:\WINDOWS\System32\f0r0r\dirote.exe
C:\WINDOWS\System32\ktqeojilq.exe
Es scheint nur so, als wenn dein Norton schon ganz was "weggeholzt" haette!

Den Rechner neu aufzusetzen, waere auch nicht die schlechtestet Moeglichkeit.....

Den Rechner neu aufsetzen kann ich zZt. gar nicht, weil ich - wie gesagt - nur über vnc drauf kann.
Wozu sollen diese Dateien eingeschickt werden ?
Hab nichts dagegen, würde aber schon gerne wissen wozu
--
Die Prozesse die Ihr hier bemängelt sind mir auch im taskmanager schon aufgefallen, hab gegooglet und sie als angebliche Windows-Prozesse gefunden.

Kann man das Fixen mit hijack machen ? - (kann grad nicht auf den rechner zum Nachsehen)
Noch ne Frage (nur so aus allgemeinem Interesse): Sind das nicht Registry-keys, die man auch "von Hand" löschen könnte ?

Danke für Eure Mühe und Grüße
__________
Gruß maceis
Wer die Wahrheit sagt, brauch ein schnelles Pferd. (Buffalo Bill)

#8 Ja, einfach die angegebenen Eintraege anhaken und "Fix checked" druecken, neu starten und ja die Reg Eintraege koenntest du auch per Hand loeschen, nur wieso, wenn HJT das macht.

Zu den Dateien. Eigentlich ganz einfach. Erstens ich will wissen was das fuer Dateien sind, denn die habe ich schon sehr haeufig in diversen Hijackthis logs gesehen und zweitens, wenn es Malware sein sollte, werden sie von Rokop an mehrere AV-Firmen geschickt, damit sie diese bald moeglichst erkennen. So zum Beispiel ist Norton auch mit auf der Liste......
__________
MfG Ralf
SEO-Spam Hunter

#9

Zitat

raman postete
Ja, einfach die angegebenen Eintraege anhaken und "Fix checked" druecken, neu starten und ja die Reg Eintraege koenntest du auch per Hand loeschen, nur wieso, wenn HJT das macht.

Zu den Dateien. Eigentlich ganz einfach. Erstens ich will wissen was das fuer Dateien sind, denn
......

Ach das ist Deine Email Addi.
Ich were mein Bestes tun.
Das Problem ist: ich fahr morgen früh in Urlaub und meine Mutter ist jetzt u. heute abend nicht daheim.
Ich hoffe, ich schaff´s noch heute.

Wegen der Reg-Einträge - ja, Du hast recht; war nur persönliches Interesse.

---
Noch ne Frage am Rande:Kennt jemand einen dyndns Updater für xp, der keine mal-/spyware hat und trotzdem frei ist. Die telefonishce Absprache (klick mal meine Adresse an, und so) das nervt auch langsam.
Am Ende muss ich noch Perl auf dem Rechner meiner Mom installieren *äääächz*
__________
Gruß maceis
Wer die Wahrheit sagt, brauch ein schnelles Pferd. (Buffalo Bill)

#10 Hm, dyndns Software gibt es doch wie sand am meer? Muss mal eben in mein Fido Mailer nachsehen.
__________
MfG Ralf
SEO-Spam Hunter

#11 Ist hier nicht was fuer dich dabei?
http://www.dhs.org/support/dyndns/

Ich glaube mein Node setzt dynsite ein?

by the way rokop-security.de: Nein, das ist nicht mein Mailaddi, ich habe nur Zugriff darauf...
__________
MfG Ralf
SEO-Spam Hunter

#12

Zitat

raman postete
Hm, dyndns Software gibt es doch wie sand am meer? Muss mal eben in mein Fido Mailer nachsehen.

Ja eben - und oft genug mit irgendeiner Spyware o. ä. gekoppelt, oder 30 Tage Lizenz oder .. oder .. oder .
------------
((Bin ich froh, dass ich kein Windows habe))
__________
Gruß maceis
Wer die Wahrheit sagt, brauch ein schnelles Pferd. (Buffalo Bill)