regedit & msconfig werden sofort geschlossen/C:\WINDOWS\System32\nbthelp.exe

#1 Hallo, ich habe ein Problem mit einem, meiner Meinung nach als Outlook getarnten, Wurm/Spyware was auch immer.

Ich kann regedit als auch msconfig sowie den Task-Manager nicht benutzen, da diese sofort wieder geschlossen werden. Auch der AVGuard, welcher im Autostart ist wird beim booten beendet.
Hijackthis lässt sich nur ausführen, wenn es umbenannt wird und spuckt dann sowas aus:

Logfile of HijackThis v1.97.7
Scan saved at 19:23:59, on 28.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\System32\gijfs.exe
C:\Programme\CPUCooL\CPUCooL.exe
C:\Programme\CPUCooL\CooLSrv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\This.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [0utlook Express] gijfs.exe
O4 - HKLM\..\RunServices: [0utlook Express] gijfs.exe
O4 - HKCU\..\Run: [0utlook Express] gijfs.exe
O4 - HKCU\..\RunServices: [0utlook Express] gijfs.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: CPUCooL.lnk = C:\Programme\CPUCooL\CPUCooL.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\SYSTEM32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{C39676D0-F819-4EE4-9E03-8B1D24DA960E}: NameServer = 217.237.151.225 194.25.2.129

Dabei erscheint mir der Eintrag : "C:\WINDOWS\System32\gijfs.exe" sehr suspekt
und lässt sich zwar im Abgesicherten Modus entfernen, erscheint beim booten dann allerdings wieder im Taskmanager wenn ich ihn kurz aufblitzen lasse und den per Druck gemachten Screenshot in Paint einfüge *g*.

Mit Ad-aware, Spybot, und Antivir hab ich schon gescant und nix gefunden.

Ich hoffe Ihr könnt mir vielleicht weiterhelfen.
Schonmal danke im vorraus und schönen Gruss
Muffa

#2 Diesen Eintrag kannst du bestimmt fixen:

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

Danach kannst du die im Eintrag angegebene Datei löschen.
Damit sollte das Problem eigentlich auch gelöst sein kann aber sein das noch was anderes oben ist.

Edit: Die Datei C:\WINDOWS\System32\gijfs.exe ist ungefährlich, gehört zu Outlook.
__________
lg Geri

#3 Den Eintrag :

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

konnte ich Fixen,es hat sich aber keins der Symptome verändert.

Zudem benutze ich Outlook nicht und hatte es bisher nie im Autostart. Das setzt sich ja nicht einfach so da rein.

Sehr seltsam das alles.

#4 @ Geri

Dieser Datei C:\WINDOWS\System32\gijfs.exe gehört nicht zu Outlook, das ist der Verursacher.

@ Muffa

Überprüfe diese C:\WINDOWS\System32\gijfs.exe bei http://www.kaspersky.com/de/remoteviruschk.html
und teile uns das Ergebnis mit.

Desweiteren handelst du grobfahrlässig, wenn du dein System nicht updatest. also dringendst http://v4.windowsupdate.microsoft.com/de/default.asp besuchen.

Zitat

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#5 Die "gijfs.exe" konnte ich weder auf dem Rechner finden noch konnte die Seite
http://www.kaspersky.com/de/remoteviruschk.html geöffnet werden.
Allerdings konnte ich das Problem durch den Stinger lösen.
Bei der Datei handelte es sich um einen Sdbot.worm.gen.g
Ich versuche jetzt alle möglichen Win Updates drauf zu machen.

Danke für die Hilfe

#6 @ Muffa

Zitat

Die "gijfs.exe" konnte ich weder auf dem Rechner finden noch konnte die Seite
http://www.kaspersky.com/de/remoteviruschk.html geöffnet werden.

Öffne mal diese Datei C:\Windows\system32\drivers\etc\hosts mit dem Editor und poste den Inhalt.

Versteckte Dateien und Ordner anzeigen:
"Windows Explorer" öffnen ->"Extras" ->"Ordneroptionen" ->"Ansicht" ->"Versteckte Dateien und Ordner" ->"Alle Dateien und Ordner anzeigen"
Überprüfe nochmals diese C:\WINDOWS\System32\gijfs.exe

Poste nach dem Updaten nochmals ein Log-File.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#7 habe genau das gleich prob... nur bei mir lassen sich die datein nicht löschen...
hier mein log:


Logfile of HijackThis v1.99.1
Scan saved at 15:21:37, on 06.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Securepoint Personal Firewall\driver\spfirewallsvc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Cirond\Cirond WiNc\WiNc.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\Kopie von HijackThis.exe

O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Securepoint Personal Firewall] "C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe"
O4 - HKLM\..\Run: [Compaq Service Drivers 32] compq32.exe
O4 - HKLM\..\RunServices: [Compaq Service Drivers 32] compq32.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Compaq Service Drivers 32] compq32.exe
O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe
O4 - Global Startup: Cirond WiNc.lnk = C:\Programme\Cirond\Cirond WiNc\WiNc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Enables support for NetBIOS over TCP/IP (NetBT) service and NetBIOS name resolution. (Netbios Helper) - Unknown owner - C:\WINDOWS\System32\nbthelp.exe (file missing)
O23 - Service: Securepoint Personal Firewall (spfirewallsvc) - Securepoint Latinoamerica S.A. de C.V. - C:\Programme\Securepoint Personal Firewall\driver\spfirewallsvc.exe

#8 Hallo@dfc-eraser

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren


Start<Ausfuehren<regedit

Bearbeiten--> suchen--> reinkopieren: Netbios Helper

loesche alles mit rechtsklick, was du findest

zum Beispiel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netbios Helper

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [Compaq Service Drivers 32] compq32.exe
O4 - HKLM\..\RunServices: [Compaq Service Drivers 32] compq32.exe
O4 - HKCU\..\Run: [Compaq Service Drivers 32] compq32.exe
O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe
O23 - Service: Enables support for NetBIOS over TCP/IP (NetBT) service and NetBIOS name resolution. (Netbios Helper) - Unknown owner - C:\WINDOWS\System32\nbthelp.exe (file missing)

neustarten--> in den abgesicherten Modus

suche:
compq32.exe
nbthelp.exe
cmd.exe

rechtsklick: -->Eigenschaften--> Erstellungsdatum

loesche:
C:\WINDOWS\system32\nbthelp.exe
C:\WINDOWS\system32\compq32.exe
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\del.bat

C:\WINDOWS\system32\cmd.exe<--falls diese Datei uebereinstimmt mit dem Erstellungsdatum des Backdoors--> auch loeschen, viellecht findest du auch 2 cmd.exe, eine ist die normale von Windows. (die natuerlich nicht loeschen)

dann suche andere Dateien, bat oder ini oder exe dll die zur gleichen Zeit auf den PC gelangt sind und loesche sie gemeinsam mit compq32.exe und nbthelp.exe

--------------------------------------------------------------------------

; This file is generated by AppHunter
; Please contact support@cyberdefender.com for more details
[Summary]
Discovered=02/16/2005 23:28:00
ID=2EB58B7F3DE686AFFC2F5639AF5DAD09
ID2=30720,90D3B8B36BA9FAE55271ECE0D76A6998
ID3=29696,84904D5C97CD36C4BD6B3D686FA3EBAE
MD5=46FAB55F4416AB3CB3742C63BEDF645B
Size=30720
Filename=nbthelp.exe
Company=N/A
Risk=5.0
Virus=Sdbot.worm ***

[Risk Analyzer]
AutoRun=4
NonBrand=10
FileCreated=4
FileCreatedInWinSys=4
CloneThreat=4
RunProcess=4
ServiceCreated=10
McAfee=8

[Virus Known As (McAfee)]
W32/Sdbot.worm=1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netbios Helper]
ImagePath=C:\WINDOWS\system32\nbthelp.exe

[FileCreated]
c:\windows\system32\nbthelp.exe=1
c:\docume~1\apphun~1\locals~1\temp\del.bat=1

[ProcessCreated]
C:\WINDOWS\system32\nbthelp.exe=1
C:\WINDOWS\system32\cmd.exe=1

[ThreadCreated]
Count=3
__________
MfG Sabina

rund um die PC-Sicherheit

#9 ich komme ja nicht in die reg edit :-( es schliest sich ja sofort :-(

#10 Hallo@dfc-eraser

Mach es mit diesem Tool:

http://bilder.informationsarchiv.net/Nikitas_Tools/reglite.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#11 hab grade einfach eine copie erstellt von der exe und nun gehts :-)

Das Forum hier ist echt super!! so das muste ich mal loswerden ...

Kennt ihr den (Virus) schon?

oahhh big thx es geht nun alles wieder normal *fg* Aber wie kann ich mich davor schützen?

#12 wenn du alles abgearbeitet hast, dann mache folgendes:
(und nicht vergessen, du musst unbedingt den Mutex an Hand des Erstellungsdatums finden und loeschen !!!!

Poste mir bitte, alles, was du findest (fuer andere User

•Online-Scann (Panda)
http://www.pandasoftware.com/activescan/com/activescan_principal.htm

•Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml

•Trend-Micro (Online)
http://de.trendmicro-europe.com/consumer/products/housecall_launch.php
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

dann poste mir, was bei den Scanns angezeigt wurde.
__________
MfG Sabina

rund um die PC-Sicherheit

#13 aso: von dennen suche:
compq32.exe
nbthelp.exe
cmd.exe


habe ich auch nur den comp32.exe gefunden....
meine cmd war erstellung 1.8.00 oder so :-)



Incident Status Location

Virus:W32/Sdbot.COO.worm Disinfected C:\Programme\AVPersonal\INFECTED\compq32.VIR
Virus:W32/Sdbot.COO.worm Disinfected C:\Programme\AVPersonal\INFECTED\compq32.VIR00
Virus:W32/Sdbot.COO.worm Disinfected C:\Programme\AVPersonal\INFECTED\compq32.VIR01
Virus:W32/Sdbot.COO.worm Disinfected C:\Programme\AVPersonal\INFECTED\compq32.VIR02
Virus:W32/Sdbot.COO.worm Disinfected C:\Programme\AVPersonal\INFECTED\compq32.VIR03
Virus:W32/Sdbot.COO.worm Disinfected C:\Programme\AVPersonal\INFECTED\compq32.VIR04
Virus:W32/Sdbot.COO.worm Disinfected C:\Programme\AVPersonal\INFECTED\compq32.VIR05
Virus:W32/Sdbot.COO.worm Disinfected C:\Programme\AVPersonal\INFECTED\compq32.VIR06
Virus:W32/Gaobot.DKJ.worm Disinfected C:\Programme\AVPersonal\INFECTED\msmq2inst.VIR
Virus:W32/Sdbot.BZL.worm Disinfected C:\Programme\AVPersonal\INFECTED\rant.VIR
Virus:W32/Gaobot.DNY.worm Disinfected C:\Programme\AVPersonal\INFECTED\rpcxuisu.VIR
Virus:W32/Gaobot.DNY.worm Disinfected C:\Programme\AVPersonal\INFECTED\rpcxuisu.VIR00
Virus:W32/Sdbot.CEP.worm Disinfected C:\Programme\AVPersonal\INFECTED\snapple.VIR
Virus:W32/Sdbot.CEP.worm Disinfected C:\Programme\AVPersonal\INFECTED\snapple.VIR00
Virus:W32/Sdbot.CEP.worm Disinfected C:\Programme\AVPersonal\INFECTED\snapple.VIR01
Virus:W32/Sasser.ftp Disinfected C:\WINDOWS\system32\cmd.ftp
Adware:Adware/StartPage.CK No disinfected C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNIXG9CJ\hempy[1].exe
Adware:Adware/WUpd No disinfected C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNIXG9CJ\hempy[1].exe[blank.html]
Adware:Adware/MediaTickets No disinfected C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNIXG9CJ\hempy[1].exe[re11.REG]
Adware:Adware/StartPage.CK No disinfected C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNIXG9CJ\update25[1].exe
Spyware:Spyware/ISTbar No disinfected C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNIXG9CJ\update25[1].exe[blank.html]
Adware:Adware/MediaTickets No disinfected C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNIXG9CJ\update25[1].exe[re11.REG]
Adware:Adware/TopRebates No disinfected C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H3UE4CV1\webrebates_europe[1].exe
Virus:W32/Gaobot.DKA.worm Disinfected C:\WINDOWS\system32\hypertrm.exe
Virus:W32/Gaobot.DKI.worm Disinfected C:\WINDOWS\system32\msnupdate.exe
Virus:W32/Gaobot.EHX.worm Disinfected C:\WINDOWS\system32\outlookexpressupdate.exe
Virus:W32/Gaobot.DNY.worm Disinfected C:\WINDOWS\system32\rpcxuisu.exe
Virus:W32/Sdbot.CPB.worm Disinfected C:\WINDOWS\system32\svshost32.exe
Virus:W32/Gaobot.EHX.worm Disinfected C:\WINDOWS\system32\TFTP1416
Virus:W32/Gaobot.DKJ.worm Disinfected C:\WINDOWS\system32\TFTP3220
Virus:W32/Gaobot.ECV.worm Disinfected C:\WINDOWS\system32\TFTP4008
Adware:Adware/TopRebates No disinfected C:\WINDOWS\Temp\webrebates.exe
Virus:W32/Sober.G.worm Disinfected Persönliche Ordner\Gelöschte Objekte\FwD: , wat'n los ey?\Jokes511.zip[p-zipped_file_data .pif]
Virus:W32/Netsky.D.worm Disinfected Persönliche Ordner\Gelöschte Objekte\Returned mail: see transcript for details\Re: Your archive\your_archive.pif
Virus:Trj/Citifraud.A Disinfected Persönliche Ordner\Gelöschte Objekte\Citibank: Urgent Security Notice For CIient [Sat, 28 Aug 2004 21:01:37 +0600]\MSG_RTF.TXT
Virus:Trj/Citifraud.A Disinfected Persönliche Ordner\Gelöschte Objekte\OFFICIAL INFORMATION TO ALL Citizens Bank CLIENTS\MSG_RTF.TXT
Virus:Trj/Citifraud.A Disinfected Persönliche Ordner\Gelöschte Objekte\CUSTOMER NOTIFICATION: DETAILS CONFIRMATION\MSG_RTF.TXT
Virus:W32/Sober.G.worm Disinfected Archivordner\Gelöschte Objekte\FwD: , wat'n los ey?\Jokes511.zip[p-zipped_file_data .pif]
Virus:W32/Netsky.D.worm Disinfected Archivordner\Gelöschte Objekte\Returned mail: see transcript for details\Re: Your archive\your_archive.pif


das hat der erste ausgespuckt

#14 Hallo@dfc-eraser

solche mails darfst du nie oeffnen
OFFICIAL INFORMATION TO ALL Citizens Bank CLIENTS\
NOTIFICATION: DETAILS CONFIRMATION\MSG_RTF.TXT

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNIXG9CJ<--loeschen

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNIXG9CJ\hempy[1].exe

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNIXG9CJ\hempy[1].exe[blank.html]

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNIXG9CJ\hempy[1].exe[re11.REG]

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNIXG9CJ\update25[1].exe

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNIXG9CJ\update25[1].exe[blank.html]

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNIXG9CJ\update25[1].exe[re11.REG]

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H3UE4CV1\webrebates_europe[1].exe

C:\WINDOWS\Temp\webrebates.exe

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\cmd.ftp
C:\WINDOWS\system32\comp32.exe
C:\WINDOWS\system32\hypertrm.exe
C:\WINDOWS\system32\msnupdate.exe
C:\WINDOWS\system32\outlookexpressupdate.exe
C:\WINDOWS\system32\rpcxuisu.exe
C:\WINDOWS\system32\svshost32.exe
C:\WINDOWS\system32\TFTP1416
C:\WINDOWS\system32\TFTP3220
C:\WINDOWS\system32\TFTP4008

neustarten

Reinigung
CCleaner
http://www.ccleaner.com/ccdownload.asp

dann scanne noch mal mit Antivirus (im abgesicherten Modus) und loesche alles, also keine Quarantaene akzeptieren !!!!!!!!!)

How can I try F-Secure BlackLight Rootkit Elimination Technology?
A free beta version of F-Secure BlackLight is available for download. The beta is fully featured and works until April 30th 2005.
http://www.f-secure.com/blacklight/cure.shtml

Graphical user interface version:
(Recommended for most users)
lade: fsbl.exe

scanne und poste mir das Log vom Scann (*log)




Dann poste das neue Log vom HijacktHis
__________
MfG Sabina

rund um die PC-Sicherheit

#15 das fsecure findest nichts... :-) die kill prog macht irngend einen fehler... es meint das die dateien schon von einem anderen Prog gelöscht worden seien

habe nachgeschaut die dateien sind wircklich nicht da