Spyware kommt alle 5 min in Registry zurück - doppelter Prozess? |
||
---|---|---|
#0
| ||
03.08.2004, 22:11
...neu hier
Beiträge: 2 |
||
|
||
03.08.2004, 22:15
Moderator
Beiträge: 7805 |
#2
Du musst alle "R" Eintraege und alle eintraege, in dem monitor.exe auftaucht fixen und neu starten. Danach die C:\WINDOWS\monitor.exe loeschen.
BTW: Ich sehe kein AV-Programm? __________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 03.08.2004 um 22:16 Uhr von raman editiert.
|
|
|
||
03.08.2004, 22:21
...neu hier
Themenstarter Beiträge: 2 |
#3
Dankeschön... hoff das et klappt...
AV fehlt noch, weil das System noch keine 2 tage alt ist Edit: Hat geklappt.... Gez bin ich aber erleichtert... danke danke danke danke Dieser Beitrag wurde am 03.08.2004 um 22:26 Uhr von ParoleSpass editiert.
|
|
|
Hier mein Problem:
Logfile of HijackThis v1.97.7
Scan saved at 22:07:03, on 03.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\monitor.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\cidaemon.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Installer Programme & Benchmarks\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.14/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://195.225.176.14/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
F0 - system.ini: Shell=Explorer.exe monitor.exe
F2 - REG:system.ini: Shell=Explorer.exe monitor.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [monitor] monitor.exe
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O13 - DefaultPrefix: http://195.225.176.14/pre.pl?
O13 - WWW Prefix: http://195.225.176.14/pre.pl?
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Die Seite is irgend son NMC Search der einen auf MSN macht.
Weiß einer was darüber? Ich verzweifel langsam.
Der Hund kommt einfach immer wieder. (Max 2min)
Vermute das es n zweiten verdeckten Prozess gibt, der mir die Registry immer umschreibt.
Des weiteren hab ich schon fast alle guten anti-Spywareprogramme versucht.
So... wer weiß wie ich den zu packen bekomm???
Für sachdienliche Hinweise fall ich auf die Knie