Home » Viren, Trojaner & Malware Forum » Grüner Bildschirm ?!?! ich bin verseucht! » Themenansicht

Grüner Bildschirm ?!?! ich bin verseucht!
#0
11.07.2004, 19:21
gamefreak
...neu hier

Beiträge: 1
#1 Hallo erstmal !

Also ich hab seid langen alles schmutzige von mir fernhalten können dank : antivir ad aware und spybotsd doch jetzt hab ich irgend ein wurm drauf den ich troz symantec fixkit nicht beheben kann :/
Direkt nachdem booten öffnet er meinen browser (Mozzila) und es erscheint eine komplett grüne seite =???? die url ist folgende : " http://www.sodhell.com/survey.html "

ich weiss nicht wie ich ihn runterbekomme übrigens ist meine cpu auslastung extrem hoch letzt zeit hier mal ein scan ich hoffe ihr könnt mir weiterhelfen :

Logfile of HijackThis v1.98.0
Scan saved at 19:13:04, on 11.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\win32snd.exe
C:\WINDOWS\RUNDLL16.EXE
C:\DOKUME~1\Julian\LOKALE~1\Temp\adbjqy.exe
C:\WINDOWS\System32\xvshost.exe
C:\WINDOWS\System32\sphost.exe
C:\WINDOWS\System32\wuamagr32.exe
D:\Software\Antivir\AVGUARD.EXE
D:\Software\Antivir\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\Software\Mozilla\mozilla.exe
D:\SOFTWARE\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\software\Acrobat Reader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\WINDOWS\Speech\Dragon\web_ie.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - D:\Software\XP-TunerPRO_SE\PopUp-Killer\PopUp-Killer.dll
O2 - BHO: . - {587DBF2D-9145-4c9e-92C2-1F953DA73773} - (no file)
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: CSObj Class - {CD209A08-98B5-4669-AF9F-447AC5253356} - C:\WINDOWS\System32\CSapp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] D:\Software\Antivir\AVGNT.EXE /min
O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\image.dll,Install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Win32 Sound Config] win32snd.exe
O4 - HKLM\..\Run: [Windows DLL] C:\WINDOWS\RUNDLL16.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Service] C:\DOKUME~1\Julian\LOKALE~1\Temp\adbjqy.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] xvshost.exe
O4 - HKLM\..\Run: [Microsoft DNS Query] msdns.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamagr32.exe
O4 - HKLM\..\Run: [Windows Firewalll] sphost.exe
O4 - HKLM\..\RunServices: [Win32 Sound Config] win32snd.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] xvshost.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamagr32.exe
O4 - HKLM\..\RunServices: [Windows Firewalll] sphost.exe
O4 - HKCU\..\Run: [Win32 Sound Config] win32snd.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] xvshost.exe
O4 - HKCU\..\Run: [Windows Firewalll] sphost.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamagr32.exe
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\image.dll,Install
O4 - Startup: Ubisoft register.lnk = C:\Programme\Ubisoft\Register\schedule.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Software\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Software\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Software\ICQ\ICQ.exe
O9 - Extra button: (no name) - {83D5556F-4224-4fc7-A578-4D09AAD5DED4} - (no file)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file)
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no file)
O9 - Extra button: (no name) - {83D5556F-4224-4fc7-A578-4D09AAD5DED4} - (no file) (HKCU)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU)
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no file) (HKCU)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://simcity.ea.com/update/EARTPX.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - http://www2.flingstone.com/cab/2000XP/CDTInc/bridge-c1.cab
O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.com/update/MaxisSimCity4PatcherX.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/2.0.0.33/player.virtools.com/downloads/player/Install2.0/Installer.exe
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E3A7EB0-CDB3-4FCE-A3BC-6D8819FAA805}: NameServer = 217.237.151.225 194.25.2.129
O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\MSERO.DLL
Seitenanfang Seitenende
11.07.2004, 20:19
raman
Moderator

Beiträge: 7805
#2 Entschuldige, es dir sagen zu muessen, aber du bist total verseucht, dein System ist nicht auf dem neusten Stand. Du solltest ueberlegen, dein System neu aufzusetzen, und bevor du das erste mal ins Internet gehst, die Windowsfirewall aktivieren und dann alle Patches einspielen. Erst dann den Rest der Software, die du wirklich(!) benoetigst.

Wenn du deinen Link ob mit dem IE oeffnen wuerdest, wird dir Spyware "untergeschoben".
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
11.07.2004, 20:59
Juliano
...neu hier

Beiträge: 1
#3 Hallo Gamefreak,

wuamagr32.exe gehört doch zu Sasser oder Phatbot.
Aber auch andere Namen klingen nicht gut:
win32snd.exe
xvshost.exe
sphost.exe
nvsvc32.exe
usw.

Lade mal alles, was in deinem Log steht, zum Kaspersky zum Überprüfen hoch. Wenn infiziert, dann Prozess im Taskmanager beenden und Datei löschen.

Wenn du die Datei nicht findest, musst du dich als "Administrator" anmelden. Das geht bei Windows XP Home Edition leider nur im abgesicherten Modus (während des Startvorgangs Taste F8 drücken). Als "Administrator" findest du die Datei dann und kannst sie löschen. Eventuell musst du vorher noch die Sicherheitseinstellungen der Datei ändern (Vollzugriff für "Administrator").


Gruß Julian.
Seitenanfang Seitenende
11.07.2004, 21:33
raman
Moderator

Beiträge: 7805
#4 Das sind alles ...bots und Spyware/Hijacker und noch mehr, was du nicht aufgezaehlt hast. Admin brauchst du nicht zu sein, um die Dateien sehen zu koennen. Abgesicherter Modus waere aber nicht schlecht...... nur IMO nicht der Muehe wert. An neu aufsetzen fuehrt hier kein weg vorbei. Wer weiss, was die vorhandene Malware noch alles eingeschleust und veraendert hat. Bei dem Patchstand des Systems koenntest du auch gar niocht so schnell schauen, wie neue Malware wieder dazukommt.....
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1