regedit & msconfig werden sofort geschlossen/C:\WINDOWS\System32\nbthelp.exe |
||
---|---|---|
#0
| ||
08.04.2005, 12:26
Ehrenmitglied
Beiträge: 29434 |
||
|
||
24.04.2005, 10:49
...neu hier
Beiträge: 9 |
#17
ahhh ich hab das selbe wieder!!!! und es geht aber nicht weg wie beim letzten mal :-(
komischer weise kann ich panda nicht mehr öffnen Logfile of HijackThis v1.99.1 Scan saved at 10:48:21, on 24.04.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\savedump.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SYSTEM32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Securepoint Personal Firewall\driver\spfirewallsvc.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\Kopie von HijackThis.exe O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [svshost32] svshost32.exe O4 - HKLM\..\Run: [Securepoint Personal Firewall] "C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe" O4 - HKLM\..\RunServices: [svshost32] svshost32.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [svshost32] svshost32.exe O4 - HKCU\..\RunServices: [svshost32] svshost32.exe O4 - Global Startup: Cirond WiNc.lnk = C:\Programme\Cirond\Cirond WiNc\WiNc.exe O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{614B5EC8-883D-484B-A2C0-0D270A4CF843}: NameServer = 217.237.150.33 217.237.151.161 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: LexBce Server (LexBceS) - Unknown owner - C:\WINDOWS\system32\LEXBCES.EXE (file missing) O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing) O23 - Service: Securepoint Personal Firewall (spfirewallsvc) - Securepoint Latinoamerica S.A. de C.V. - C:\Programme\Securepoint Personal Firewall\driver\spfirewallsvc.exe |
|
|
||
24.04.2005, 12:09
Ehrenmitglied
Beiträge: 29434 |
#18
Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten wochen raus
cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit silentrunners http://www.silentrunners.org/sr_download.html gehe auf: Zitat: Click here to download a zip file. hier die Erklaerung: http://www.silentrunners.org/sr_scriptuse.html klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor--> und poste alles, was angezeigt wird. start-->Suchen--> pif (poste wieviele du gefunden hast und loesche alle) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.04.2005, 07:41
...neu hier
Beiträge: 9 |
#19
der sagt das der zugriff auf das windows host script deaktiviert wäre und ich mich an den admin wenden solle... :-) da ich der bin... wie geht das wieder an?
und ich bin glaub zu blöd für die dos befehle.... das will bei mir nicht... geht alles bis zu dem : dir /a:-d /o:-d > %systemdrive%\systemtemp.txt befehl Dieser Beitrag wurde am 25.04.2005 um 07:46 Uhr von dfc-eraser editiert.
|
|
|
||
25.04.2005, 12:53
Ehrenmitglied
Beiträge: 29434 |
#20
Fixe mit dem HijackThis:
O4 - HKLM\..\Run: [svshost32] svshost32.exe O4 - HKLM\..\RunServices: [svshost32] svshost32.exe O4 - HKCU\..\Run: [svshost32] svshost32.exe O4 - HKCU\..\RunServices: [svshost32] svshost32.exe PC neustarten kopiere mal alles so rein, wie es hier steht (nicht schreiben) cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit avast_4_home http://www.avast.com/eng/avast_4_home.html installieren--> dann wird ein Boots-Scann angeboten-->akzeptieren und danach aswclnr.log<--das Log vom Scann suchen und posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.04.2005, 20:31
...neu hier
Beiträge: 9 |
#21
das mit dem dos ging nun aber hatte es nicht kopiert aber ging halt hab dann alles selber rausgelöscht :-)
|
|
|
||
25.04.2005, 20:35
Ehrenmitglied
Beiträge: 29434 |
#22
ich verstehe kein Wort ??? Was hast du rausgeloescht?
avast_4_home http://www.avast.com/eng/avast_4_home.html installieren--> dann wird ein Boots-Scann angeboten-->akzeptieren und danach das Log vom Scann suchen und posten aswclnr.log DATA/report/aswboot.txt + das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.04.2005, 12:07
...neu hier
Beiträge: 9 |
#23
CreateKbThread
new CKbBuffer CKbBuffer::Init CKbBuffer::Init end ZwCreateEvent(g_hStopEvent) ZwAllocateVirtualMemory - stack ZwGetContextThread - NtCurrentThread ZwCreateThread - KbThread CreateKbThread end ZwInitializeRegistry KbThread start Unschedule 61,00,75,00,74,00,6F,00,63,00,68,00,65,00,63,00, 6B,00,20,00,61,00,75,00,74,00,6F,00,63,00,68,00, 6B,00,20,00,2A,00,00,00,61,00,73,00,77,00,42,00, 6F,00,6F,00,74,00,2E,00,65,00,78,00,65,00,20,00, 2F,00,41,00,3A,00,22,00,2A,00,22,00,20,00,2F,00, 4C,00,3A,00,22,00,47,00,65,00,72,00,6D,00,61,00, 6E,00,22,00,00,00,00,00, Unschedule end ZwSetEvent(g_hInitEvent) InitKeyboard s_dwKbdClassCnt: 2 InitKeyboard end GetKey ReadRegistry DATA=C:\Programme\Alwil Software\Avast4\DATA PROG=C:\Programme\Alwil Software\Avast4 SystemRoot=C:\WINDOWS TEMP=C:\WINDOWS\TEMP TMP=C:\WINDOWS\TEMP ReadRegistry end CreateTemp CreateTemp end cmnbInit SetFolders SetFolders end aswEnginDllMain(DLL_PROCESS_ATTACH) InitLog InitLog end InitReport InitReport end CmdLine aswBoot.exe /A:"*" /L:"German" CmdLine end LoadResources LoadFile LoadFile end LoadResources end CKbBuffer::Wait CKbBuffer::Get CKbBuffer::Get end CKbBuffer::Wait end FreeMemory: 935735296 aswintegInitialize avworkInitialize ProcessArea avfilesScanReal(MBR0) avfilesScanReal C:\ CKbBuffer::Get 0, 2, 0, 0, 0 GetKey end CKbBuffer:ut CKbBuffer:ut end GetKey CKbBuffer::Get end MarkFileRemoval MarkFileRemoval end 0, 2, 1, 0, 0 CKbBuffer::Get 0, 2, 0, 0, 0 GetKey end CKbBuffer:ut CKbBuffer:ut end GetKey CKbBuffer::Get end CKbBuffer::Get 0, 2, 1, 0, 0 0, 4, 0, 0, 0 GetKey end CKbBuffer:ut CKbBuffer:ut end GetKey CKbBuffer::Get end 0, 4, 1, 0, 0 CKbBuffer::Get 0, 2, 0, 0, 0 GetKey end CKbBuffer:ut CKbBuffer:ut end GetKey CKbBuffer::Get end CKbBuffer::Get 0, 2, 1, 0, 0 0, 2, 0, 0, 0 GetKey end CKbBuffer:ut CKbBuffer:ut end GetKey CKbBuffer::Get end 0, 2, 1, 0, 0 CKbBuffer::Get 0, 3, 0, 0, 0 GetKey end CKbBuffer:ut CKbBuffer:ut end GetKey CKbBuffer::Get end CKbBuffer::Get 0, 3, 1, 0, 0 0, 3, 0, 0, 0 GetKey end CKbBuffer:ut CKbBuffer:ut end GetKey CKbBuffer::Get end 0, 3, 1, 0, 0 avfilesScanReal D:\ avfilesScanReal E:\ avworkClose aswintegClose TerminateKbThread GetKey end CloseKeyboard CloseKeyboard end KbThread stop CKbBuffer::~CKbBuffer CKbBuffer::~CKbBuffer end aswEnginDllMain(DLL_PROCESS_DETACH) cmnbFree FreeResources CloseReport CloseLog habe aus den dateien die sachen selber rausgelöscht |
|
|
||
30.04.2005, 19:20
Ehrenmitglied
Beiträge: 29434 |
#24
Hallo@dfc-eraser
•Online-Scann (Panda) http://www.pandasoftware.com/activescan/com/activescan_principal.htm berichte vom Scann __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
scanne bitte noch mal mit allen 3 Onlinescannern und poste mir die logs von den Scanns + das neue Log vom HijackTHis
__________
MfG Sabina
rund um die PC-Sicherheit