Virenbefallener Rechner ??

#0
03.08.2004, 20:42
Member

Beiträge: 18
#1 morsche

bin neu hier hätte aber mal gleich ein schwerwiegendes problem. Hab gesehen dass das Prog svchost.exe hier schon diskutiert wurde, aber ich gleube bei mir war es ein auslöser einer odyssey.

Alles hat angefangen dass IE andauernd abstürtzte nach Hyperlink. Weiterhin endeckte ich auch eine datei namens java.exe auf dem C laufwerk. Norton drüber laufen lassen =>> null !
Dachte mir schaue ich ob system was hat also mal scandisk. Scandisk meldet volume kann nicht geöffnet werden. Lösung dann aber gefunden und Norton gekillt !! Scandisk tut wieder findet aber auch nix ! Defrag besitzt aber seltsamerweise immer noch einen Bereich auf den nicht zugegriffen werden kann.

Norton durch Antivir ersetzt und durchlaufen lassen Ergebnis glaub um die 20 Würmer . Ok war zwischendurch ohne firewall online ! Aber 20 ??

Okay alles mögliche gekillt aber prob immer noch da ! Also alles was es irgendwie im net gibt drüber Antivir aktualiesiert , Spybot, Ad Aware, Registry Cleaner. Nat neue Firewall besorgt.

Unterdessen haben sich irgendwie die Probs angehäuft Tasklist, Regedit und Filesuche lassen sich nichtmehr öffenen bzw. schliessen sich nach kurzem Aufblinken wieder (Seltsamerweise Progs zum killen von Hintergrundprogs inkl. Schlüssel). Und zu guterletzt wurde mein Browser von war*hier nicht!* oder sowas gehijackt.

Achja Dateien sind zwischendurch auch mal verschwunden, meine Flash Projektoren. Hab jetzt auch mal Hijack drübergejagt . Schaut euch doch bitte mal den Log an.

Logfile of HijackThis v1.98.0
Scan saved at 19:53:24, on 03.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchosting.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\System32\00THotkey.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\System32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\UMonit2K.exe
C:\WINDOWS\System32\TPSBattM.exe
C:\windows\REGTLIB.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\winupdt.exe
E:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4C8C3577-E01F-22C6-8071-615504A0296A} - C:\WINDOWS\System32\ammba.dll (file missing)
O2 - BHO: (no name) - {8403CB53-12B3-4537-9DEC-4F12F70A883D} - C:\WINDOWS\System32\anti-pp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINDOWS\system32\UMonit2K.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=080604 Ser*hier nicht!* lang=DE
O4 - HKLM\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DirectX 32] directx32.exe
O4 - HKLM\..\Run: [REGTLIB] C:\windows\REGTLIB.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] svchosting.exe
O4 - HKLM\..\Run: [Windows Media Player] osncp.exe
O4 - HKLM\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Microsoft Update] muamgrd.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdt.exe
O4 - HKLM\..\RunServices: [DirectX 32] directx32.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] svchosting.exe
O4 - HKLM\..\RunServices: [Windows Media Player] osncp.exe
O4 - HKLM\..\RunServices: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] muamgrd.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - HKCU\..\Run: [DirectX 32] directx32.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\Run: [Windows Media Player] osncp.exe
O4 - HKCU\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search + Destroy\TeaTimer.exe
O4 - HKCU\..\RunServices: [Windows Media Player] osncp.exe
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] svchosting.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Microsoft® JavaScript® Console - {AA223045-9636-4A02-ACC0-6AFF0C019FD5} - (no file)
O9 - Extra 'Tools' menuitem: JavaScript Console - {AA223045-9636-4A02-ACC0-6AFF0C019FD5} - (no file)
O9 - Extra button: Microsoft® JavaScript® Console - {AA223045-9636-4A02-ACC0-6AFF0C019FD5} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console - {AA223045-9636-4A02-ACC0-6AFF0C019FD5} - (no file) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de

Übrigens als ich das letzte mal einsicht in meine tasklist hatte hatte svchost auch meine volle systemauslastung ;).

Wäre dankbar wenn mir jemand helfen kann.
__________
I´m too cool for IE
http://www.w3junkies.com/toocool/
Dieser Beitrag wurde am 04.08.2004 um 20:12 Uhr von Nebu editiert.
Seitenanfang Seitenende
03.08.2004, 20:56
Member

Beiträge: 1095
#2 @nebu

Vergiß die svchost.exe
Du hast ganz andere Probleme ;)

Also dich hat irgendein "Pha/Agobot" erwischt

Lade dir Escan
http://www.rokop-security.de/board/index.php?showtopic=3867
Installieren und updaten wie beschrieben

Geh bitte in den Abgesichteren Modus
http://www.bsi.de/av/texte/winsave.htm

AB JETZT NICHT MEHR DEN INTERNET EXPLORER STARTEN

Fixe bitte folgendes in HiJackThis (ankreuzen FixChecked drücken)
O2 - BHO: (no name) - {4C8C3577-E01F-22C6-8071-615504A0296A} - C:\WINDOWS\System32\ammba.dll (file missing)
O2 - BHO: (no name) - {8403CB53-12B3-4537-9DEC-4F12F70A883D} - C:\WINDOWS\System32\anti-pp.dll
O4 - HKLM\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - HKLM\..\Run: [DirectX 32] directx32.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] svchosting.exe
O4 - HKLM\..\Run: [Windows Media Player] osncp.exe
O4 - HKLM\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\Run: [Microsoft Update] muamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdt.exe
O4 - HKLM\..\RunServices: [DirectX 32] directx32.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] svchosting.exe
O4 - HKLM\..\RunServices: [Windows Media Player] osncp.exe
O4 - HKLM\..\RunServices: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] muamgrd.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - HKCU\..\Run: [DirectX 32] directx32.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\Run: [Windows Media Player] osncp.exe
O4 - HKCU\..\Run: [Microsoft Restore] scrgrd.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Microsoft® JavaScript® Console - {AA223045-9636-4A02-ACC0-6AFF0C019FD5} - (no file)
O9 - Extra 'Tools' menuitem: JavaScript Console - {AA223045-9636-4A02-ACC0-6AFF0C019FD5} - (no file)
O9 - Extra button: Microsoft® JavaScript® Console - {AA223045-9636-4A02-ACC0-6AFF0C019FD5} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console - {AA223045-9636-4A02-ACC0-6AFF0C019FD5} - (no file) (HKCU)

Dann Scannen mit Escan

Dann neustart machen und nochmal Logfile posten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 03.08.2004 um 20:59 Uhr von paff editiert.
Seitenanfang Seitenende
04.08.2004, 20:02
Member

Themenstarter

Beiträge: 18
#3 namd

.....gesagt getan mich treibt der wahn.....

also alles gemacht und hier mein neuer log nach dem ganzen Ablauf :

Logfile of HijackThis v1.98.0
Scan saved at 19:58:50, on 04.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\LTSMMSG.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TPSMain.exe
C:\WINDOWS\system32\UMonit2K.exe
C:\WINDOWS\System32\TPSBattM.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\windows\REGTLIB.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
C:\Dokumente und Einstellungen\RaW\Eigene Dateien\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINDOWS\system32\UMonit2K.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=080604 Ser*hier nicht!* lang=DE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [REGTLIB] C:\windows\REGTLIB.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\RaW\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search + Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1EE5FB8-4973-468B-A2AD-4CF958FAC06A}: NameServer = 217.237.151.161 194.25.2.129

Lustigerweise entdeckte ich auch grad ein log auf meiner platte. Mal kurz der Inhalt ....
Okay war nur escan !
Eben hat sich auch wieder Ie gepopupt löl mit underrun/youve paid seite oder so ähnlich !

Auch mal ne kurze frage , was richtet der bot denn auf meinem system an ?


Gruß Nebu
__________
I´m too cool for IE
http://www.w3junkies.com/toocool/
Dieser Beitrag wurde am 04.08.2004 um 20:11 Uhr von Nebu editiert.
Seitenanfang Seitenende
04.08.2004, 21:24
Member

Beiträge: 1095
#4 @ nebu

Update den Escan mal richtig

Zitat

http://www.rokop-security.de/board/index.php?showtopic=3867
Installieren und updaten wie beschrieben
Update auch den AnntiVir

Lass beide dann nochmal im abgesicherten Modus laufen.

Dann mach das hier durch
http://www.rokop-security.de/main/article.php?sid=703

Dann nochmal Logfile posten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
13.08.2004, 19:43
Member

Themenstarter

Beiträge: 18
#5 morsche

also hab jetzt echt alles upgedatet und durchlaufen lassen . Das System läuft wieder einigermasen normal jedoch öffnet sich der IE immer noch von selbst mit einer bestimmten URL.

Hier mein neues Log:

Logfile of HijackThis v1.98.0
Scan saved at 19:41:13, on 13.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\LTSMMSG.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TPSMain.exe
C:\WINDOWS\system32\UMonit2K.exe
C:\WINDOWS\System32\TPSBattM.exe
C:\windows\REGTLIB.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Spybot - Search + Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\RaW\Eigene Dateien\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINDOWS\system32\UMonit2K.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [REGTLIB] C:\windows\REGTLIB.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=082704 lang=DE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search + Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1EE5FB8-4973-468B-A2AD-4CF958FAC06A}: NameServer =
__________
I´m too cool for IE
http://www.w3junkies.com/toocool/
Seitenanfang Seitenende
13.08.2004, 23:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 @Nebu
Wenn du nicht willst, das sich diese bestimmte Seite oeffnet, musst du das fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de

neustarten

#Loesche die TemporaryInternetfiles unter <Internetoptionen< und stelle die gewuenschte Startseite ein.

#Ansonsten mache mal eine Bereinigung der Autostarteintraege...dein Computer ist zu vollgepackt (04-Eintraege)
Er braucht doch bestimmt Stunden, bis er hochgefahren ist...

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINDOWS\system32\UMonit2K.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [REGTLIB] C:\windows\REGTLIB.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
usw. usw..

#Lade TuneUp 2004 (30 Tage free) und reinige\optimiere
http://www.tuneup.de/download/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 15.08.2004 um 15:45 Uhr von Sabina editiert.
Seitenanfang Seitenende
15.08.2004, 15:17
Member

Themenstarter

Beiträge: 18
#7 Wie reinige ich denn die Autostarteinträge am besten ? Mit Hijack Einträge fixen oder wie ?
__________
I´m too cool for IE
http://www.w3junkies.com/toocool/
Seitenanfang Seitenende
15.08.2004, 15:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 @Nebu

#Autostart:
Ressourcenfresser
Das hat natürlich verschiedenen Konsequenzen. So verbraucht der Start jedes Programms natürlich kostbares RAM. Die Ausführung des Programms, besonders wenn es irgendwelchen aufwendigen Tätigkeiten nachgeht, kostet obendrein noch CPU Zyklen und damit Rechenleistung. Alles in allem wird der Rechner also für Aufgaben eingespannt, die die eigentlichen Arbeiten verlangsamen, weil dafür nicht mehr alle Ressourcen genutzt werden können. Das ist unter dem Gesichtspunkt ungut, dass man diese Nebenarbeiten nicht selbst initiiert hat. Nur weil der Programmierer eines obskuren Bildschirmtreibers meinte, man müsse unbedingt ein tolles Icon für den Treiber im Mitteilungsbereich sehen können, verliert man Rechenleistung.
...................................................................................................................
Haken vor dem jeweiligen Tool rausnehmen unter:
Start<Ausfuehren<msconfig<Autostart

ich mache es aber nicht so umstaendlich..ich loesche die Autostartseintraege mit RegCleaner.
http://www.chip.de/downloads/c_downloads_8830516.html
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 15.08.2004 um 15:55 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: