Home » Spyware & Browser Hijacker Support Forum » PC sendet Syns zu Microsoft, sobald I-net aktiv » Themenansicht
PC sendet Syns zu Microsoft, sobald I-net aktiv |
||
|---|---|---|
| #0
| ||
|
15.06.2004, 01:54
...neu hier
Beiträge: 6 |
||
 
|
|
|
|
15.06.2004, 06:54
Moderator
 Beiträge: 6466 |
||
|
|
|
|
|
15.06.2004, 07:59
...neu hier
Themenstarter Beiträge: 6 |
#3
Hmm,und wo schau ich da am besten nach? Ich hab XP-Antispy bei mir drauf, damit ich die ganze Chose nicht selber einstellen muß. Prinzipiell kanns dann ja jedes MS - Produkt sein, das versucht, sich zu updaten...
Gruß DIO2000 Update: Hmm ich habe Spybot, Ad-aware und FixBlaster laufen lassen, ohne Erfolg. Immer noch das gleiche. Auch die ganzen aktuellen Microsoft-Patches sind installiert.... Jetzt hab ich ein Log mit Hijackthis erstellt, vielleicht kann ja jemand was damit anfangen... Running processes: K:\WINDOWS\System32\smss.exe K:\WINDOWS\system32\winlogon.exe K:\WINDOWS\system32\services.exe K:\WINDOWS\system32\lsass.exe K:\WINDOWS\system32\svchost.exe K:\WINDOWS\System32\svchost.exe K:\WINDOWS\system32\spoolsv.exe K:\WINDOWS\Explorer.EXE K:\PROGRA~1\DIRECT~1\DUService.exe K:\WINDOWS\twain_32\SiPix\SC-3300\USBPNP.exe K:\WINDOWS\System32\nvsvc32.exe K:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe K:\WINDOWS\SOUNDMAN.EXE K:\WINDOWS\System32\svchost.exe K:\WINDOWS\System32\ctfmon.exe K:\WINDOWS\System32\RUNDLL32.EXE K:\Programme\mozilla.org\Mozilla\Mozilla.exe K:\WINDOWS\System32\sndcfg16.exe K:\WINDOWS\System32\taskmgr.exe K:\Programme\WinRAR\WinRAR.exe G:\internetdownloads\Proggis\HijackThis.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - K:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - k:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - K:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - k:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE K:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SC3300CC] K:\WINDOWS\twain_32\SiPix\SC-3300\SC3300CC.exe O4 - HKLM\..\Run: [USBPNP] K:\WINDOWS\twain_32\SiPix\SC-3300\USBPNP.exe O4 - HKLM\..\Run: [TkBellExe] "K:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [DUControl] K:\Programme\DirectUpdate\DUControl.exe O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exe O4 - HKLM\..\RunServices: [MS Sound Config 16bit] sndcfg16.exe O4 - HKCU\..\Run: [CTFMON.EXE] K:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE K:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Mozilla Quick Launch] "K:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo O4 - HKCU\..\Run: [MS Sound Config 16bit] sndcfg16.exe O8 - Extra context menu item: &Google Search - res://k:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://k:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://k:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://k:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://p1x.de/jinstall-1_4_2-windows-i586.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38022.6229282407 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8BAA0526-E4DE-4774-9A2C-677722B2EC48}: NameServer = 217.237.150.141,194.25.2.133,217.237.151.16 Dieser Beitrag wurde am 15.06.2004 um 09:08 Uhr von DIO2000 editiert.
|
|
|
|
|
|
|
15.06.2004, 11:58
Member
Beiträge: 1095 |
#4
@Dio2000
Zitat TCP dio:4373 192.50.5.138:microsoft-ds SYN_GESENDETDas sind alles aber keine MICROSOFT Seiten. Wenn du dir mal die IP's genauer anschaust wirst du sehen das das keine MS Domains sind. In deinem HiJackThis fällt folgendes auf. O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exe O4 - HKLM\..\RunServices: [MS Sound Config 16bit] sndcfg16.exe O4 - HKCU\..\Run: [MS Sound Config 16bit] sndcfg16.exe Das sind wohl Einträge von Trojanern/HiJackern Wahrscheinlich "Agobots" oder ähnliches Überprüf mal die Dateien hier http://www.kaspersky.com/de/remoteviruschk.html Wenn die Einträge "Virolent" (Schönes Word  ) sind fixe Sie bitte in HiJackThis. Dann mach einen Neustart und schau nach ob die Einträge immer noch verschwunden sind. Wenn Ja, schick die datei gezippt an virus@protecus.de und lösch Sie dann Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 15.06.2004 um 11:58 Uhr von paff editiert.
|
|
|
|
|
|
|
15.06.2004, 12:08
...neu hier
Themenstarter Beiträge: 6 |
#5
@paff
Vielen Dank mal soweit ich bin zwar momentan auf der Arbeit, werde den Sachverhalt aber sofort prüfen, wenn ich wieder daheim bin. Sound Config 16bit war mir auch schon aufgefallen, aber da ich mich in der Registry nicht wirklich auskenne, dachte ich: lieber die Leute nicht auf eine evtl falsche Fährte locken. Und nocheinmal dumm gefragt: wo bekomm ich die datei her? Ich kann aus dem Zitat O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exeEintrag nicht ersehen, wo ich die Datei finde? Einfach auf meinen Platten suchen denke ich mal... vorerst vielen Dank MFG DIO2000 Dieser Beitrag wurde am 15.06.2004 um 22:10 Uhr von DIO2000 editiert.
|
|
|
|
|
|
|
15.06.2004, 13:14
Member
Beiträge: 1095 |
#6
Zitat DIO2000 posteteDa hast du recht, du muß die Datei auf der Platte suchen. Wahrscheinlich liegt Sie entweder in K:\windows K:\windows\system32 K:\windows\system oder direkt auf k: Viel Glück paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
15.06.2004, 20:42
...neu hier
Themenstarter Beiträge: 6 |
#7
Also Kaspersky meint:
Zu überprüfende Datei: sndcfg16.exe sndcfg16.exe - packed with Yoda sndcfg16.exe - packed with PECompact sndcfg16.exe Infiziert: Backdoor.Rbot.gen habe die einträge mal gefixed, jetzt mache ich das gleiche aber noch im abgesicherten modus, dann werde ich auch noch die Datei killen und dann das beste hoffen. Allerdings weiß ich noch nicht was das fürn teil ist.... Wenns ein Trojaner ist, dann wird der Typ, der dafür verantwortlich ist, doch schon Vorkehrungen getroffen haben das er mich immer ficken kann wenn er lustig ist oder? Update: Also vorerst mal Entwarnung, ich habe beim erneuten Starten im regulären Windows-Modus nur noch einen Registry-Eintrag gefunden von diesem sndcfg16.exe. Den habe ich noch gekillt. Ich habe auch nochmal im netstat nachgeschaut, es wurden keine Syns mehr gesendet. Sndcfg16.exe war in windows/system32. Nachdem ich im abgesicherten Modus dieses File gelöscht hatte und den Papierkorb bereinigt, konnte ich beim Neustart dieses File nicht mehr finden. Ich werde jetzt nochmal neustarten und dann sehe ich ja, was Phase ist. Update: Yesssssssssssss, das Scheißteil ist wech. Ich bin außerordentlich froh, das man das so einfach fixen konnte, schließlich habe ich in den letzten 24 Stunden mehr über Viren und Trojaner gelesen als wohl jemals zuvor. Vielen Dank für die Tips. Gruß DIO2000 und vielen Dank!! Ohne Hilfe hätt ichs wohl kaum geschafft. Dieser Beitrag wurde am 15.06.2004 um 21:32 Uhr von DIO2000 editiert.
|
|
|
|
|
|
|
16.06.2004, 10:26
Member
Beiträge: 1095 |
#8
@DIO
Wenn du die Datei "sndcfg16.exe" noch hast schick Sie mal (gezippt) bitte an virus@protecus.de Schreib in die Mail noch einen Link auf diesen Thread http://board.protecus.de/t10671.htm Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
17.06.2004, 05:15
...neu hier
Themenstarter Beiträge: 6 |
#9
@paff
Tut mir wirklich leid, ich habe die Datei leider nicht mehr. Ich muß zugeben, ich war in dem Moment, als ich die Möglichkeit hatte, das Ding zu löschen, so darauf bedacht, den Schei... endlich loszuwerden. Ich hatte nicht mehr daran gedacht, das Ihr die Virendatei evtl noch brauchen könnt. Nächstesmal aber bestimmt, wenn ich mir wieder so ein Ding einfange. Ich kann nur sagen wie ich mir den Virus eingefangen habe und wie er heißt. Name: backdoor.Rbot.gen versteckt in Datei: sndcfg16.exe im Verzeichnis: windows\system32 konnte die Datei nur im abgesicherten Modus löschen 3 Einträge in die Registry, davon einer nicht sichtbar im abgesicherten Modus, konnte diesen erst entfernen, als ich den Rechner wieder normal gestartet hatte. Infektion: Alle Ports für ca. 2 Minuten geöffnet, weil ich etwas mit NetMeeting ausprobieren wollte. Aufgefallen ist er mir dadurch, das mein Ping beim Zocken superschlecht war. netstat brachte oben nachzulesendes Ergebnis. Bitte nochmals um Entschuldigung. Gruß DIO2000 |
|
|
|
|
|
|
17.06.2004, 09:27
Member
Beiträge: 1095 |
#10
Zitat DIO2000 posteteBrauchst dich nicht zu entschuldigen. Ist schon OK , hauptsache dein Problem ist gelößt. Wenn wieder was ist weißt du ja wohin. Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
10.08.2004, 11:38
...neu hier
Beiträge: 1 |
||
|
|
|
|
|
17.08.2004, 14:45
...neu hier
Beiträge: 1 |
#12
Hallo,
Ich habe glaube ich das selbe Problem und weiß nicht wie ich es lösen kann. Mein NortonAntivirus findet keinen Virus, Spybot - Search & Destroy auch nicht und ad-aware findet auch nichts... Aktive Verbindungen Proto Lokale Adresse Remoteadresse Status TCP denni:1052 192.74.208.182:epmap SYN_GESENDET TCP denni:1053 192.181.172.71:epmap SYN_GESENDET TCP denni:1054 192.177.103.100:epmap SYN_GESENDET TCP denni:1055 192.28.181.97:epmap SYN_GESENDET TCP denni:1057 192.240.4.116:epmap SYN_GESENDET TCP denni:1058 192.191.73.192:epmap SYN_GESENDET TCP denni:1059 192.247.90.132:epmap SYN_GESENDET TCP denni:1060 192.6.39.17:epmap SYN_GESENDET TCP denni:1061 unassigned.acumenassociates.com:epmap SYN_GESENDET TCP denni:1062 192.68.218.232:epmap SYN_GESENDET TCP denni:1063 192.109.202.231:epmap SYN_GESENDET TCP denni:1064 192.91.35.90:epmap SYN_GESENDET TCP denni:1065 192.5.174.115:epmap SYN_GESENDET TCP denni:1066 192.22.51.140:epmap SYN_GESENDET TCP denni:1067 192.76.179.247:epmap SYN_GESENDET TCP denni:1068 h115s122a32n192.user.nortelnetworks.com:epmap SYN_GESENDET TCP denni:1069 192.219.60.94:epmap SYN_GESENDET TCP denni:1070 192.209.158.46:epmap SYN_GESENDET TCP denni:1071 192.50.197.60:epmap SYN_GESENDET TCP denni:1072 192.28.214.21:epmap SYN_GESENDET TCP denni:1073 host-208-73-18-192.iplanet.com:epmap SYN_GESENDET TCP denni:1074 192.228.41.228:epmap SYN_GESENDET TCP denni:1075 192.162.21.155:epmap SYN_GESENDET TCP denni:1076 192.37.54.94:epmap SYN_GESENDET TCP denni:1077 192.174.183.158:epmap SYN_GESENDET TCP denni:1078 192.129.192.66:epmap SYN_GESENDET TCP denni:1079 192.75.16.78:epmap SYN_GESENDET TCP denni:1080 192.132.106.73:epmap SYN_GESENDET TCP denni:1081 192.57.127.75:epmap SYN_GESENDET TCP denni:1082 192.148.198.76:epmap SYN_GESENDET TCP denni:1083 192.211.35.97:epmap SYN_GESENDET TCP denni:1084 192.229.238.145:epmap SYN_GESENDET TCP denni:1085 192.228.124.212:epmap SYN_GESENDET TCP denni:1086 192.125.17.254:epmap SYN_GESENDET TCP denni:1087 192.133.140.201:epmap SYN_GESENDET TCP denni:1088 192.208.145.63:epmap SYN_GESENDET TCP denni:1089 192.80.61.93:epmap SYN_GESENDET TCP denni:1090 192.39.197.250:epmap SYN_GESENDET TCP denni:1091 192.132.238.32:epmap SYN_GESENDET TCP denni:1092 192.117.4.135:epmap SYN_GESENDET TCP denni:1093 192.20.67.147:epmap SYN_GESENDET TCP denni:1094 192.47.203.12:epmap SYN_GESENDET TCP denni:1095 192.39.181.103:epmap SYN_GESENDET TCP denni:1096 192.74.117.118:epmap SYN_GESENDET TCP denni:1097 192.168.243.161:epmap SYN_GESENDET TCP denni:1098 ipweb3.iplanet.com:epmap SYN_GESENDET TCP denni:1099 192.119.93.132:epmap SYN_GESENDET TCP denni:1100 p184.internet.net.il:epmap SYN_GESENDET TCP denni:1101 192.121.35.0:epmap SYN_GESENDET TCP denni:1102 192.249.226.42:epmap SYN_GESENDET TCP denni:1103 192.204.58.202:epmap SYN_GESENDET TCP denni:1104 192.94.88.127:epmap SYN_GESENDET TCP denni:1105 192.249.187.212:epmap SYN_GESENDET TCP denni:1106 192.111.27.44:epmap SYN_GESENDET TCP denni:1107 192.102.2.48:epmap SYN_GESENDET Ich hoffe ihr könnt mir irgendwie weiter helfen, denn mein Internet ist durch die vielen offenen Ports SEHR langsam geworden! Danke im Vorraus! |
|
|
|
|
|
|
17.08.2004, 16:10
Ehrenmitglied
 Beiträge: 29434 |
#13
@Relaje + @till
Ohne das Log vom HijackThis, koennen wir herzlich wenig machen.....  Downloadlinks: http://www.downloads.subratam.org/hijackthis.zip entpacken, scan, save und das Log ins Forum kopieren. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 17.08.2004 um 16:11 Uhr von Sabina editiert.
|
|
|
|
|
|
|
20.08.2004, 17:58
...neu hier
Themenstarter Beiträge: 6 |
||
|
|
|
|
|
26.08.2004, 04:18
...neu hier
Beiträge: 2 |
#15
Hallo erstmal,
habe das selbe Problem wie DIO2000 bei mir werden auch als syns gesendet... Mein Upload ist bei 5kbs im durchschnitt obwohl ich nichts mache. Habe mal mal ein hijackthis.log gemacht Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\INTERN~2\MEDIAKEY.EXE C:\Programme\Motherboard Monitor 5\MBM5.EXE C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe E:\Programme\Daemon\daemon.exe C:\Program Files\Internet Optimizer\optimize.exe C:\PROGRA~1\COMMON~1\Toolbar\winnet.exe C:\PROGRA~1\COMMON~1\Toolbar\comwiz.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe E:\Programme\AnyDVD\AnyDVD.exe C:\WINDOWS\System32\RUNDLL32.exe E:\Programme\ICQLite\ICQ-Control\icq-control.icl E:\Programme\Winamp5\winampa.exe C:\WINDOWS\System32\rtcdnk.exe C:\WINDOWS\System32\explorer.exe C:\Programme\imonc\Imonc.exe C:\WINDOWS\NCLAUNCH.EXe C:\PROGRA~1\INTERN~2\KBOSDCtl.EXE C:\PROGRA~1\INTERN~2\KCodeMsg.EXE C:\Programme\Gemeinsame Dateien\GMT\GMT.exe E:\Programme\D-Info\dinfostarter.exe c:\program files\internet optimizer\sim\msbb.exe C:\Programme\Crazy Browser\Crazy Browser.exe C:\WINDOWS\System32\cmd.exe C:\Dokumente und Einstellungen\PsY cHo\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=132702 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.fossi.co.uk/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wflu.com/searchbar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=132702 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1 R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} - C:\PROGRA~1\COMMON~1\Toolbar\cnbabe.dll O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll O2 - BHO: (no name) - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - (no file) O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem301.dll O2 - BHO: Swish Browser Helper - {D44B5436-B3E4-4595-B0E9-106690E70A58} - C:\DOKUME~1\PSYCHO~1\ANWEND~1\heeojprckbr.dll O2 - BHO: BrowserHelper.CBrowserHelper - {D5B72AED-E54A-11D6-B1B2-444553540000} - c:\ddmp.dll O2 - BHO: BHObj Class - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem218.dll O3 - Toolbar: Accessories - {9B35A850-66AB-4c6d-8A66-136ECADCD904} - C:\DOKUME~1\PSYCHO~1\ANWEND~1\heeojprckbr.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll (file missing) O4 - HKLM\..\Run: [MediaKey] C:\PROGRA~1\INTERN~2\MEDIAKEY.EXE O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [MBM 5] C:\Programme\Motherboard Monitor 5\MBM5.EXE O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\Daemon\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [DU Meter] E:\Programme\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" O4 - HKLM\..\Run: [TeenSex] C:\WINDOWS\Dialer\pdialer.exe !m ln=WMP200000001650} sl=sx000191} dn=TeenSex} sn=TeenSex} tu=http://63.66.136.123/m/} ru=} pl=842} nu=120} O4 - HKLM\..\Run: [28223818.exe] C:\WINDOWS\System32\28223818.exe O4 - HKLM\..\Run: [winnet] C:\PROGRA~1\COMMON~1\Toolbar\winnet.exe O4 - HKLM\..\Run: [AnyDVD] E:\Programme\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [ICQ-Control] E:\Programme\ICQLite\ICQ-Control\ICQ-Control.exe O4 - HKLM\..\Run: [ISDN_Monitor] E:\Programme\REVERZPP Version 2004\ReverZPp.exe O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain O4 - HKLM\..\Run: [WinampAgent] "E:\Programme\Winamp5\winampa.exe" O4 - HKLM\..\Run: [ttyvqr] C:\WINDOWS\System32\rtcdnk.exe O4 - HKLM\..\Run: [msbb] c:\program files\internet optimizer\sim\msbb.exe O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe O4 - HKLM\..\Run: [WindowsRegKey Autoupdate] explorer.exe O4 - HKLM\..\Run: [nalsfux] C:\WINDOWS\nalsfux.exe O4 - HKLM\..\RunServices: [WindowsRegKey Autoupdate] explorer.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [fli4l] "C:\Programme\imonc\Imonc.exe" /s:192.168.1.50 O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe O4 - HKCU\..\Run: [PriceWatcher] C:\Dokumente und Einstellungen\PsY cHo\Desktop\PriceWatcher\PriceWatcher.exe O4 - HKCU\..\Run: [DynSite] e:\programme\DynSite for Windows\DynSite.exe O4 - HKCU\..\Run: [WindowsRegKey Autoupdate] explorer.exe O4 - Startup: G6FTP.lnk = E:\Programme\G6 FTP Server\G6FTPSrv.exe O4 - Startup: MBM 5.lnk = C:\Programme\Motherboard Monitor 5\MBM5.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WEB.DE Screensaver Quick-Start.lnk = ? O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Programme\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: D-Info Starter.lnk = E:\Programme\D-Info\dinfostarter.exe O8 - Extra context menu item: Add A Page Note - C:\Programme\CommonName\Toolbar\createnote.htm O8 - Extra context menu item: Bookmark This Page - C:\Programme\CommonName\Toolbar\createbookmark.htm O8 - Extra context menu item: Email This Link - C:\Programme\CommonName\Toolbar\emaillink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: PriceWatcher Schnellsuche - file://C:\Dokumente und Einstellungen\PsY cHo\Desktop\PriceWatcher\script.html O8 - Extra context menu item: Search using CommonName - C:\Programme\CommonName\Toolbar\navigate.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: D-Info - {5baf1db0-1d34-11d6-bf3c-005056303009} - e:\Programme\D-Info\html\toolbarscript.html O9 - Extra 'Tools' menuitem: D-Info - {5baf1db0-1d34-11d6-bf3c-005056303009} - e:\Programme\D-Info\html\toolbarscript.html O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Programme\ICQ2003proCracked\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\Programme\ICQ2003proCracked\ICQ.exe O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\AIM.EXE (file missing) O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite\ICQLite.exe O11 - Options group: [CommonName] CommonName O15 - Trusted Zone: http://linktrader.cyberspacehq.com O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.bitstream.com/wfplayer/tdserver.cab O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/LOT64106/thin.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab O16 - DPF: {8522F9B3-38C5-4AA4-AE40-7401F1BBC851} - http://members.home.nl/mp3webmaster/fred/Mp3-Download.exe O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab O16 - DPF: {9CCE3B43-4DE0-4236-A84E-108CA848EE6A} (WebCam Control) - http://www.webcamnow.com/broadcast/ActiveXWebCam.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security3.norton.com/SSC/SharedContent/sc/bin/cabsa.cab O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.sunshinefm.hu/nsvplayxvp3mp3.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O16 - DPF: {FC87A650-207D-4392-A6A1-82ADBC56FA64} (MultiDist) - http://xbs.climaxbucks.com/internet-optimizer/080703/MultiDist.CAB O17 - HKLM\System\CCS\Services\Tcpip\..\{33E76F9E-C646-4D7B-974C-2FEC2F412C23}: NameServer = 192.168.1.50 O18 - Protocol hijack: cn - {9346A6BB-1ED0-4174-AFB4-13CD4EC0AA40} Fällt euch da evtl irgend etwas auf? Ich hab überhaupt kein plan was hier abgeht. Viele Dank JoJo |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Jemand ne Ahnung wie ich da am besten vorgeh? Ich hab zwar in der Suche nachgeschaut aber so richtig macht mich das nicht glücklich.
bdei netstat kommt folgende Ausgabe:
Proto Lokale Adresse Remoteadresse Status
TCP dio:1031 localhost:1032 HERGESTELLT
TCP dio:1032 localhost:1031 HERGESTELLT
TCP dio:4372 218.89.0.250:6667 HERGESTELLT
TCP dio:4373 192.50.5.138:microsoft-ds SYN_GESENDET
TCP dio:4374 192.137.241.123:microsoft-ds SYN_GESENDET
TCP dio:4375 192.178.148.197:microsoft-ds SYN_GESENDET
TCP dio:4376 192.114.127.140:microsoft-ds SYN_GESENDET
TCP dio:4377 192.166.228.75:microsoft-ds SYN_GESENDET
TCP dio:4378 192.179.106.52:microsoft-ds SYN_GESENDET
TCP dio:4379 192.183.125.213:microsoft-ds SYN_GESENDET
TCP dio:4380 192.138.4.149:microsoft-ds SYN_GESENDET
usw usw usw.
Was kann ich tun das ich diese Schei... wieder loswerde?